Fortinet FortiAP und Purple WiFi Integrationshandbuch

Eine definitive technische Referenz für die Integration von Fortinet FortiAP- und FortiGate-Infrastrukturen mit Purple WiFi. Dieses Handbuch behandelt die Konfiguration des externen Captive Portals, die Koexistenz der RADIUS-Authentifizierung mit dem FortiAuthenticator sowie das Design von Sicherheitsrichtlinien für Enterprise-Bereitstellungen in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor.

📖 7 Min. Lesezeit📝 1,552 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Architecture Briefing. Heute widmen wir uns einer geschäftskritischen Integration für Enterprise-Netzwerke: der Bereitstellung von Purple WiFi in Kombination mit einer Fortinet-Infrastruktur, speziell FortiAP Access Points und FortiGate Firewalls. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und einen Standort verwalten – sei es eine Einzelhandelskette, ein Stadion oder ein Krankenhaus –, liefert Ihnen diese Session den praktischen Leitfaden, um diese beiden leistungsstarken Plattformen nahtlos miteinander zu verbinden.

Betrachten wir zunächst den Kontext. Fortinet ist bekannt für seine robusten Sicherheitsfunktionen. FortiGate Unified Threat Management-Appliances bieten eine tiefgehende Layer-7-Datenverkehrsprüfung. Wenn es jedoch um Gäste-WiFi geht, wollen Sie nicht nur Sicherheit – Sie wollen geschäftlichen Mehrwert. Sie möchten demografische Daten erfassen, das Besucherverhalten verstehen und den Marketing-ROI steigern. Genau hier kommt Purple ins Spiel. Indem Sie Purple als externes Captive Portal integrieren, lagern Sie die komplexe Verwaltung von Gäste-Identitäten, GDPR-Einwilligungen und Social Logins in die Cloud-RADIUS-Infrastruktur von Purple aus, während die FortiGate das tut, was sie am besten kann: den Perimeter sichern.

Wie funktioniert das nun genau unter der Haube? Gehen wir ins technische Detail.

Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Redirection. Wenn sich das Gerät eines Gastes mit Ihrer offenen Gäste-SSID verbindet, die vom FortiAP ausgestrahlt wird, fängt die FortiGate diese erste Webanfrage ab. Anstatt eine einfache, lokal gespeicherte Portalseite bereitzustellen, leitet die FortiGate den Client auf die in der Cloud gehostete Splash-Page von Purple um.

Hier ist das entscheidende Konzept: der Walled Garden. Während dieser Pre-Authentication-Phase hat der Gast noch keinen Internetzugang. Er muss jedoch die Portal-Grafiken laden und eventuell Facebook oder Google erreichen, um sich anzumelden. Der Walled Garden ist eine strikte Allowlist, die auf der FortiGate konfiguriert ist und den Datenverkehr zu diesen spezifischen Domains zulässt. Sobald sich der Benutzer authentifiziert, sendet die Plattform von Purple eine RADIUS Access-Accept-Nachricht zurück an die FortiGate. Die FortiGate schaltet daraufhin um, ändert den Sitzungsstatus auf authentifiziert und leitet den Benutzer in Ihre Post-Authentication-Firewall-Richtlinie weiter.

Lassen Sie uns die RADIUS-Konfiguration genauer betrachten, denn hier kommt es auf Präzision an. Purple stellt Ihnen zwei Sätze von RADIUS-Anmeldedaten zur Verfügung: einen für die Authentifizierung auf Port 1812 und einen für das Accounting auf Port 1813. Beide müssen konfiguriert werden. Der Accounting-Server ist nicht optional. Über diesen Mechanismus meldet die FortiGate Sitzungsdaten an Purple zurück – Dauer, verbrauchte Bandbreite und Sitzungsbeendigungen. Ohne präzise Accounting-Daten zeigt Ihr Purple-Analyse-Dashboard unvollständige oder ungenaue Besucherkennzahlen an. Stellen Sie Ihr Accounting-Intervall auf 120 Sekunden ein. Dies bietet eine gute Balance zwischen Echtzeit-Sichtbarkeit und Netzwerklast.

Ein sehr häufiges Szenario betrifft den FortiAuthenticator. Viele Unternehmen nutzen den FortiAuthenticator für ihr Mitarbeiter-WiFi – unter Verwendung von 802.1X und PEAP, um Unternehmensgeräte gegen das Active Directory zu authentifizieren. Die Frage lautet fast immer: Kann ich meinen FortiAuthenticator für Mitarbeiter behalten und Purple für Gäste nutzen?

Die Antwort lautet absolut ja, und die goldene Regel lautet hier: strikte Trennung. Sie behalten Ihre Mitarbeiter-SSID bei, die auf den FortiAuthenticator verweist. Sie erstellen eine völlig separate, offene SSID für Gäste, die auf das externe Captive Portal und den Cloud-RADIUS von Purple verweist. Die FortiGate leitet die Authentifizierungsanfragen basierend auf der SSID weiter. Die Identität der Mitarbeiter bleibt lokal beim FortiAuthenticator. Die Identität der Gäste geht in die Purple-Marketing-Cloud. Keine Überschneidungen, maximale Sicherheit.

Diese Architektur bietet auch einen erheblichen Compliance-Vorteil. Gemäß den PCI-DSS-Anforderungen müssen Gäste-WiFi-Netzwerke vollständig von allen Netzwerksegmenten isoliert sein, die Karteninhaberdaten verarbeiten. Indem Sie die Gäste-SSID in ein dediziertes VLAN legen und auf der FortiGate strenge Firewall-Richtlinien zur Blockierung des gesamten privaten RFC-1918-IP-Adressraums einrichten, erfüllen Sie diese Anforderung sauber.

Kommen wir nun zu den Empfehlungen für die Implementierung. Bei der Einrichtung müssen Sie eine wichtige Entscheidung bezüglich der IP-Zuweisung treffen: NAT-Modus versus Bridge-Modus.

Wenn Sie eine kleine Einzelhandelsfiliale mit vielleicht 50 bis 100 gleichzeitigen Gastverbindungen ausstatten, ist der NAT-Modus völlig ausreichend. Die FortiGate verteilt DHCP-Adressen an Gäste aus einem dedizierten internen Subnetz und übersetzt diese, wenn der Datenverkehr die Firewall verlässt. Das ist einfach und erfordert minimale zusätzliche Infrastruktur.

Wenn Sie jedoch eine Umgebung mit hoher Dichte ausstatten – beispielsweise ein Hotel mit 500 Zimmern, ein Konferenzzentrum mit mehreren parallelen Veranstaltungen oder ein Stadion –, müssen Sie den Bridge-Modus verwenden. Im Bridge-Modus leitet der FortiAP den Gästeverkehr direkt in ein dediziertes VLAN weiter, sodass Ihre zentralen Enterprise-DHCP-Server die Last bewältigen können. Dies verhindert, dass die FortiGate bei Spitzenlasten zu einem DHCP-Engpass wird. Der Bridge-Modus stellt außerdem sicher, dass die Purple-Plattform die echte IP-Adresse des Clients sieht, was für präzise Analysen und die Fehlerbehebung unerlässlich ist.

Lassen Sie uns über die Konfigurationsreihenfolge sprechen, denn die Abfolge ist hier wichtig.

Beginnen Sie im Purple-Portal. Rufen Sie Ihre RADIUS-Server-Anmeldedaten ab – die Server-IP-Adressen, Shared Secrets, die URL des Captive Portals und die Redirect-URL. Dies sind die vier kritischen Informationen, die Sie benötigen, bevor Sie die Fortinet-Konfiguration anpassen.

Wechseln Sie dann zum FortiCloud-Dashboard oder Ihrer FortiGate-Verwaltungsoberfläche. Definieren Sie zuerst Ihre RADIUS-Server – Authentifizierung auf 1812, Accounting auf 1813. Erstellen Sie dann Ihre Gäste-SSID, stellen Sie die Authentifizierung auf 'Open', aktivieren Sie das externe Captive Portal und geben Sie die Purple-Portal-URL sowie die Redirect-URL ein. Konfigurieren Sie Ihren Walled Garden. Und definieren Sie schließlich Ihre Post-Authentication-Firewall-Richtlinie mit Ihren UTM-Profilen.

Welche Fallstricke gibt es? Wo laufen Bereitstellungen üblicherweise schief?

Das Problem Nummer eins ist zweifellos ein unvollständiger Walled Garden. Wenn sich ein Gast verbindet und einen leeren Bildschirm oder ein Verbindungs-Timeout erhält, liegt das fast immer daran, dass die FortiGate den Zugriff auf die CSS-Dateien, JavaScript-Ressourcen oder Social-Login-APIs von Purple vor der Authentifizierung blockiert. Sie müssen sicherstellen, dass jede erforderliche Domain in dieser Pre-Authentication-Richtlinie explizit zugelassen ist. Purple stellt eine umfassende Liste der benötigten Domains bereit – nutzen Sie diese vollständig.

Vergessen Sie auch DNS nicht. Unauthentifizierten Clients muss es gestattet sein, DNS-Abfragen aufzulösen, da die Umleitung andernfalls schlichtweg nicht funktioniert. Das Gerät muss den Hostnamen des Purple-Portals auflösen können, bevor es überhaupt versuchen kann, die Seite zu laden.

Der zweithäufigste Fallstrick sind Zertifikatsfehler. Stellen Sie sicher, dass Ihre FortiGate ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat für die Redirection-Schnittstelle vorweist. Wenn Sie das standardmäßige selbstsignierte Zertifikat verwenden, zeigen moderne iPhones und Android-Geräte deutliche Sicherheitswarnungen an, und Ihre Gäste werden den Verbindungsvorgang abbrechen. Dies ist ein besonders kritisches Problem in der Hotellerie, wo die Guest Experience an erster Stelle steht.

Der dritte Fallstrick sind RADIUS-Timeout-Fehler. Wenn das Portal geladen wird, aber die Authentifizierung konsequent fehlschlägt, überprüfen Sie, ob die Shared Secrets zwischen Ihrer FortiGate-Konfiguration und dem Purple-Portal exakt übereinstimmen. Schon ein einziger abweichender Buchstabe führt dazu, dass alle Authentifizierungsversuche geräuschlos fehlschlagen. Stellen Sie außerdem sicher, dass keine zwischengeschaltete Firewall die UDP-Ports 1812 und 1813 zwischen Ihrer Fortinet-Infrastruktur und den Cloud-RADIUS-Serveren von Purple blockiert.

Lassen Sie uns mit einer schnellen Fragerunde abschließen, basierend auf den häufigsten Fragen, die wir von Kunden hören.

Frage eins: Umgeht die Nutzung von Purple meine FortiGate-Sicherheitsrichtlinien? Absolut nicht. Purple übernimmt die Authentifizierung und Identitätserfassung. Nach der Authentifizierung fließt der gesamte Gästeverkehr durch die Post-Authentication-Richtlinie Ihrer FortiGate. Genau hier wenden Sie FortiGuard Web Filtering an, blockieren Peer-to-Peer-Verkehr und begrenzen die Bandbreite. Betrachten Sie es so: Pre-Authentication ist offen, um die Anmeldung zu ermöglichen; Post-Authentication ist restriktiv, um das Netzwerk zu schützen.

Frage zwei: Muss ich lokale RADIUS-Server bereitstellen? Nein. Purple bietet RADIUS-as-a-Service. Sie konfigurieren die FortiGate so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweist. Es ist nicht erforderlich, FreeRADIUS, Windows NPS oder eine andere lokale RADIUS-Infrastruktur für das Gästenetzwerk bereitzustellen und zu warten.

Frage drei: Kann Purple mit FortiWLM betrieben werden? Ja. Der Integrationsansatz ist konsistent – konfigurieren Sie die externe Captive Portal-URL, die RADIUS-Server-Anmeldedaten und den Walled Garden im FortiWLM-Controller nach derselben logischen Abfolge wie bei der FortiGate-Konfiguration.

Frage vier: Wie sieht es mit der GDPR-Compliance aus? Purple erfasst die ausdrückliche Einwilligung direkt auf der Portalebene und zeigt Ihre Nutzungsbedingungen sowie Datenschutzhinweise vor der Authentifizierung an. Diese Einwilligungsdaten werden auf der Purple-Plattform gespeichert und sind auditierbar. Die Rolle der FortiGate beschränkt sich rein auf die Netzwerkdurchsetzung – sie muss nicht direkt mit den Einwilligungsdaten interagieren.

Fassen wir die wichtigsten Erkenntnisse des heutigen Briefings zusammen.

Erstens: Trennen Sie Ihre Mitarbeiter- und Gäste-SSIDs strikt. Mitarbeiter auf den FortiAuthenticator mit 802.1X. Gäste auf Purple mit externem Captive Portal.

Zweitens: Konfigurieren Sie Ihren Walled Garden akribisch. Er ist die häufigste Fehlerquelle und das wichtigste Element der Pre-Authentication-Konfiguration.

Drittens: Nutzen Sie den Bridge-Modus für alle Bereitstellungen mit hoher Dichte, um DHCP-Engpässe zu vermeiden und eine präzise Sichtbarkeit der Client-IPs zu gewährleisten.

Viertens: Konfigurieren Sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Server. Accounting ist nicht optional, wenn Sie aussagekräftige Analysen wünschen.

Fünftens: Nutzen Sie die UTM-Funktionen von Fortinet nach der Authentifizierung. Web-Filtering, Application Control und Bandbreitenbegrenzung sollten alle in der Post-Authentication-Firewall-Richtlinie angewendet werden.

Durch die korrekte Umsetzung dieser Integration verwandeln Sie das Gäste-WiFi von einem Kostenfaktor in ein rechtskonformes, sicheres und wertschöpfendes Asset. Die Kombination aus der tiefgehenden Sicherheit von Fortinet und der Marketing-Intelligence von Purple ist ein echtes Erfolgsrezept für jeden Standortbetreiber, der seine Guest Experience und Datenstrategie professionalisieren möchte.

Vielen Dank für Ihre Aufmerksamkeit beim Purple Architecture Briefing. Wenn Sie Ihre spezifischen Anforderungen besprechen möchten, besuchen Sie purple.ai, um mit unserem Solutions-Team zu sprechen.

Wichtigste Erkenntnisse

✓Entkoppeln Sie die Gäste-Authentifizierung von der Kernnetzwerksicherheit, indem Sie den Cloud-RADIUS von Purple nutzen – FortiGate setzt Richtlinien durch, Purple verwaltet die Identität.
✓Halten Sie eine strikte SSID- und VLAN-Segregation zwischen Mitarbeitern (FortiAuthenticator, 802.1X) und Gästen (externes Captive Portal von Purple) ein.
✓Ein akribisch konfigurierter Walled Garden ist der wichtigste Einzelschritt – unvollständige Pre-Auth-Domain-Allowlists verursachen die Mehrheit der Captive-Portal-Ausfälle.
✓Konfigurieren Sie sowohl RADIUS-Authentifizierungs- (Port 1812) als auch Accounting-Server (Port 1813) – Accounting-Daten sind für die Purple-Analysen unerlässlich.
✓Nutzen Sie den Bridge-Modus für High-Density-Bereitstellungen, um DHCP auszulagern, FortiGate-Engpässe zu vermeiden und die Sichtbarkeit der Client-IPs zu verbessern.
✓Wenden Sie Fortinet-UTM-Richtlinien (FortiGuard Web Filtering, Application Control, Traffic Shaping) ausschließlich in der Post-Authentication-Firewall-Richtlinie an.
✓Verwenden Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat auf der FortiGate-Redirection-Schnittstelle, um gästeseitige Zertifikatswarnungen zu vermeiden, die zu einer höheren Absprungrate führen.

Executive Summary

Für IT-Teams in Unternehmen, die eine Fortinet-Infrastruktur betreiben, ist die Integration externer Captive Portals für den Gastzugang bei gleichzeitiger Einhaltung strenger Sicherheitsrichtlinien eine häufige Anforderung. Die Integration zwischen Fortinet FortiAP Access Points, FortiGate Unified Threat Management (UTM)-Appliances und der Purple-Plattform ermöglicht es Unternehmen, die Gäste-Authentifizierung von der Kernnetzwerksicherheit zu entkoppeln. Dieser Leitfaden bietet technischen Architekten und IT-Managern die definitive Vorlage für die Bereitstellung von Purple als externes Captive Portal innerhalb einer Fortinet-Umgebung. Durch die Auslagerung des Identitätsmanagements für Gäste in die Cloud-RADIUS von Purple können Netzwerkteams die robusten Layer-7-Sicherheitsrichtlinien von Fortinet zur Datenverkehrsüberprüfung nutzen und gleichzeitig First-Party-Demografiedaten erfassen, um den geschäftlichen Nutzen zu steigern. Ob bei der Bereitstellung in einer verteilten Einzelhandelsstruktur oder in einem Stadion mit hoher Dichte – diese Architektur gewährleistet die Einhaltung von PCI DSS und GDPR und bietet gleichzeitig ein nahtloses Guest WiFi -Erlebnis.

Technische Detailanalyse

Die architektonische Integration zwischen Fortinet und Purple basiert auf Standard-RADIUS-Protokollen und HTTP-Umleitungsmechanismen. Wenn sich ein Gästegerät mit der vom FortiAP ausgestrahlten, dafür vorgesehenen offenen SSID verbindet, fängt die FortiGate die ursprüngliche HTTP/HTTPS-Anfrage ab. Anstatt ein lokales Captive Portal bereitzustellen, ist die FortiGate so konfiguriert, dass sie den Client auf die in der Cloud gehostete Splash-Page von Purple umleitet.

In dieser Pre-Authentication-Phase erzwingt die FortiGate einen Walled Garden – eine strenge Whitelist von IP-Adressen und Domains, die es dem Client-Gerät ermöglicht, die Assets des Captive Portals zu laden, Social Logins durchzuführen und auf wichtige Dienste (wie DNS) zuzugreifen, ohne vollen Internetzugang zu gewähren. Sobald sich der Benutzer im Purple-Portal authentifiziert, kommuniziert die Purple-Plattform über RADIUS Access-Accept-Nachrichten zurück an die FortiGate. Die FortiGate überführt dann den Sitzungsstatus des Clients von nicht authentifiziert zu authentifiziert und wendet die entsprechenden Post-Authentication-Firewall-Richtlinien an.

RADIUS-Koexistenz: Purple und FortiAuthenticator

Eine häufige architektonische Herausforderung in Fortinet-Umgebungen ist die Verwaltung des Gastzugangs parallel zur Mitarbeiter-Authentifizierung, wenn bereits ein FortiAuthenticator (FAC) für die Unternehmensidentität im Einsatz ist. Der empfohlene Ansatz ist eine strikte SSID-Segregation. Mitarbeitergeräte verbinden sich mit einer sicheren SSID unter Verwendung von IEEE 802.1X – in der Regel PEAP oder EAP-TLS – und authentifizieren sich direkt am FortiAuthenticator. Umgekehrt verbinden sich Gästegeräte mit einer offenen SSID, die für die Weiterleitung an ein externes Captive Portal konfiguriert ist, und authentifizieren sich an der Cloud-RADIUS-Infrastruktur von Purple.

Diese Trennung stellt sicher, dass die Identitätsdaten der Gäste – die für WiFi Analytics von entscheidender Bedeutung sind – vollständig innerhalb der Purple-Plattform verwaltet werden, während die Active Directory-Anmeldedaten des Unternehmens sicher vom FortiAuthenticator vor Ort verarbeitet werden. Die FortiGate übernimmt das Routing und die Richtliniendurchsetzung für beide Datenströme unabhängig voneinander, sodass es zu keinerlei Überschneidungen zwischen dem Gäste-VLAN und dem Unternehmens-VLAN kommt. Diese Architektur erfüllt auch die PCI DSS-Anforderungen an die Netzwerksegmentierung, da der Gästeverkehr physisch und logisch von jeglicher Zahlungsverarbeitungsinfrastruktur isoliert ist.

Implementierungsleitfaden

Die Bereitstellung der FortiAP-Purple-Integration erfordert eine koordinierte Konfiguration sowohl im Purple-Portal als auch in der Fortinet-Infrastruktur. Die folgenden Schritte beschreiben den kritischen Pfad für eine erfolgreiche Bereitstellung mithilfe des FortiCloud AP-Managements.

Schritt 1: Netzwerk- und RADIUS-Konfiguration

Beginnen Sie mit der Definition des Netzwerks im FortiCloud-Dashboard. Navigieren Sie zu Configure > My RADIUS Server und definieren Sie sowohl den Authentifizierungsserver (Port 1812) als auch den Accounting-Server (Port 1813) mit den im Purple-Portal bereitgestellten Anmeldedaten. Beide Server müssen konfiguriert werden – Accounting ist nicht optional. Purple stützt sich auf RADIUS-Accounting-Daten, um das WiFi Analytics -Dashboard mit Metriken zur Sitzungsdauer, zum Bandbreitenverbrauch und zur Besuchshäufigkeit zu füllen. Stellen Sie das Accounting-Intervall auf 120 Sekunden ein, um Echtzeit-Sichtbarkeit zu gewährleisten.

Schritt 2: SSID- und Captive Portal-Definition

Erstellen Sie eine neue SSID, die für den Gastzugang reserviert ist. Stellen Sie die Authentifizierungsmethode auf Open und aktivieren Sie die Captive Portal-Funktion, indem Sie die Option für ein externes oder benutzerdefiniertes Portal auswählen. Sie müssen die eindeutige Access-URL und Redirect-URL eingeben, die im Konfigurationsbildschirm des Purple-Portals bereitgestellt werden.

Die Walled-Garden-Konfiguration ist der sensibelste Schritt der gesamten Bereitstellung. Sie müssen die vollständige Liste der von Purple benötigten Domains eingeben, um sicherzustellen, dass Social-Login-Anbieter (Facebook, Google, X) und wichtige Portal-Assets vor der Authentifizierung korrekt geladen werden. Wenn der Walled Garden nicht präzise konfiguriert wird, führt dies zu einem fehlerhaften Authentifizierungsfluss, da das Client-Gerät die erforderlichen externen Ressourcen nicht erreichen kann. Stellen Sie außerdem sicher, dass DNS-Verkehr (UDP-Port 53) in der Pre-Authentication-Richtlinie explizit zugelassen ist.

Schritt 3: IP-Zuweisung – NAT- vs. Bridge-Modus

Bei der Definition der SSID müssen Sie für die IP-Zuweisung zwischen dem NAT-Modus und dem Bridge-Modus wählen.

Im NAT-Modus stellt die FortiGate den Gästegeräten DHCP-Adressen aus einem dedizierten internen Subnetz zur Verfügung und übersetzt diese Adressen, sobald der Datenverkehr die Firewall verlässt. Dies eignet sich für einfachere Bereitstellungen oder kleinere Retail Zweigstellenumgebungen, in denen die FortiGate das gesamte Gast-Subnetz verwaltet.

Im Bridge-Modus leitet der FortiAP den Gast-Traffic direkt an ein bestimmtes VLAN weiter, sodass ein externer DHCP-Server IP-Adressen zuweisen kann. Der Bridge-Modus wird für Umgebungen mit hoher Dichte wie Hospitality -Objekte oder Transport -Knotenpunkte dringend empfohlen, da er eine größere Flexibilität bei der IP-Adressverwaltung bietet, DHCP-Engpässe auf der FortiGate verhindert und es der Purple-Plattform ermöglicht, die tatsächliche Client-IP-Adresse für detailliertere Analysen und Fehlerbehebungen zu sehen.

Schritt 4: Firewall-Richtlinie nach der Authentifizierung

Sobald die Authentifizierung abgeschlossen ist, muss die FortiGate eine dedizierte Firewall-Richtlinie nach der Authentifizierung auf das Gast-VLAN anwenden. Diese Richtlinie sollte auf FortiGuard Web Filtering- und Application Control-Profile verweisen, um Inhaltsbeschränkungen durchzusetzen und Peer-to-Peer-Traffic zu blockieren. Wenden Sie ein Traffic Shaper-Profil an, um Bandbreitenbegrenzungen durchzusetzen und zu verhindern, dass ein einzelner Gast den Uplink des Standorts überlastet. Stellen Sie sicher, dass die Richtlinie explizit alle RFC 1918 privaten IP-Adressbereiche als Ziele blockiert, um zu verhindern, dass Gäste interne Netzwerkressourcen ausspähen.

Best Practices

Beachten Sie bei der Konzeption dieser Integration die folgenden branchenüblichen Empfehlungen, um Stabilität, Sicherheit und Compliance zu gewährleisten.

VLAN-Segregation ist zwingend erforderlich: Stellen Sie Gast-WiFi niemals im selben VLAN wie Unternehmensressourcen oder Point-of-Sale-Systeme bereit. Eine strikte VLAN-Kennzeichnung (Tagging) muss auf Switch-Port-Ebene erzwungen werden, um die PCI-DSS-Compliance zu wahren. Die FortiGate sollte aggressive Firewall-Richtlinien auf das Gast-VLAN anwenden und alle RFC 1918 privaten IP-Adressbereiche blockieren, um laterale Bewegungen zu verhindern.

Sitzungs-Timer optimieren: Konfigurieren Sie die DHCP-Lease-Zeit und die RADIUS-Accounting-Interimsintervalle angemessen. Eine DHCP-Lease-Zeit von 3600 Sekunden in Kombination mit einem Accounting-Interimsintervall von 120 Sekunden bietet ein optimales Gleichgewicht zwischen der Schonung von IP-Adressen und einer präzisen Echtzeit-Analyseberichterstattung im Purple-Dashboard.

Fortinet UTM-Funktionen nach der Authentifizierung nutzen: Der Hauptvorteil dieser Integration ist die Möglichkeit, die erweiterten Sicherheitsfunktionen von Fortinet nach der Authentifizierung auf den Gast-Traffic anzuwenden. Konfigurieren Sie die Firewall-Richtlinie nach der Authentifizierung so, dass FortiGuard Web Filtering und Application Control genutzt werden. Dies mindert das Risiko, dass Gäste die Bandbreite des Standorts für böswillige Aktivitäten, Torrenting oder den Zugriff auf unangemessene Inhalte nutzen, und schützt so den Ruf der öffentlichen IP des Standorts und den Internet-Service-Vertrag.

Öffentliche Zertifikate verwenden: Stellen Sie sicher, dass die FortiGate ein gültiges, öffentlich vertrauenswürdiges SSL/TLS-Zertifikat auf der Umleitungsschnittstelle bereitstellt. Selbstsignierte Zertifikate lösen Sicherheitswarnungen auf modernen iOS- und Android-Geräten aus, was die Abbruchrate der Gäste am Portal erheblich erhöht.

Fehlerbehebung & Risikominderung

Selbst bei sorgfältiger Konfiguration kann es bei Bereitstellungen zu Problemen kommen. Das Verständnis häufiger Fehlerszenarien beschleunigt die Behebung erheblich.

Captive Portal lädt nicht: Wenn sich ein Gast verbindet, aber die Splash Page nicht erscheint, ist die häufigste Ursache ein unvollständiger Walled Garden. Überprüfen Sie, ob alle erforderlichen Domains für Purple und alle konfigurierten Social-Login-Anbieter in der Pre-Authentication-Richtlinie explizit erlaubt sind. Stellen Sie sicher, dass die DNS-Auflösung für nicht authentifizierte Clients korrekt funktioniert; wenn der Client die URL des Purple-Portals nicht auflösen kann, schlägt die Umleitung vollständig fehl.

RADIUS-Timeouts: Wenn das Portal geladen wird, aber die Authentifizierung konsistent fehlschlägt, untersuchen Sie den RADIUS-Kommunikationspfad. Überprüfen Sie, ob die externe IP-Adresse der FortiGate in der Router-Konfiguration des Purple-Portals korrekt registriert ist. Stellen Sie sicher, dass die Shared Secrets exakt übereinstimmen – bereits eine Abweichung von einem einzelnen Zeichen führt zu unbemerkt fehlschlagenden Authentifizierungen – und dass keine zwischengeschalteten Firewalls die UDP-Ports 1812 und 1813 zwischen der Fortinet-Infrastruktur und den Cloud-RADIUS-Servern von Purple blockieren.

Zertifikatsfehler: Moderne mobile Betriebssysteme reagieren sehr empfindlich auf SSL/TLS-Zertifikatsanomalien beim Abfangen durch das Captive Portal. Stellen Sie sicher, dass die FortiGate ein gültiges, öffentlich vertrauenswürdiges Zertifikat für die Umleitungsschnittstelle anstelle eines selbstsignierten Standardzertifikats bereitstellt. Dies verhindert beunruhigende Sicherheitswarnungen, die Gäste davon abhalten, den Authentifizierungsfluss abzuschließen.

Lücken im Sitzungs-Accounting: Wenn das Purple-Analyse-Dashboard unvollständige Sitzungsdaten oder fehlende Bandbreitenmetriken anzeigt, überprüfen Sie, ob der RADIUS-Accounting-Server (Port 1813) korrekt konfiguriert und das Accounting-Interimsintervall eingestellt ist. Accounting-Daten werden separat von der Authentifizierung gesendet und erfordern eine eigene Serverdefinition.

ROI & geschäftliche Auswirkungen

Die Integration von Fortinet und Purple verwandelt eine standardmäßige Kostenstelle – das Gast-WiFi – in ein messbares Geschäftsgut. Durch die Nutzung des Captive Portals von Purple erfassen Standorte verifizierte demografische Daten und Kontaktinformationen, was zielgerichtete Marketingkampagnen, das Wachstum von Treueprogrammen und die erneute Ansprache nach dem Besuch ermöglicht. Für Standorte in den Bereichen Retail oder Hospitality werden diese First-Party-Daten immer wertvoller, da das Ende von Drittanbieter-Cookies traditionelle digitale Marketingkanäle einschränkt.

Für den IT-Betrieb reduziert die Auslagerung der Gast-Authentifizierung an den Cloud-RADIUS von Purple den administrativen Aufwand für die Verwaltung lokaler Benutzerdatenbanken, das Drucken physischer Voucher oder die Wartung einer lokalen RADIUS-Infrastruktur erheblich. Die Kombination aus nahtlosem Onboarding von Purple und der robusten Traffic-Inspektion von Fortinet stellt sicher, dass der Standort ein leistungsstarkes, sicheres Interneterlebnis bietet und gleichzeitig verwertbare Business Intelligence durch WiFi Analytics generiert. Diese Architektur ist hochgradig skalierbar und unterstützt alles von einem einzelnen Boutique-Hotel bis hin zu einem verteilten Enterprise-Campus und liefert einen konsistenten ROI sowohl durch Marketing-Enablement als auch durch betriebliche Effizienz.

Schlüsseldefinitionen

External Captive Portal

Eine Konfiguration, bei der die Netzwerkhardware (FortiGate/FortiAP) den unauthentifizierten Benutzerverkehr auf eine Splash-Page umleitet, die auf einem Cloud-Server eines Drittanbieters (Purple) gehostet wird, anstatt eine lokal auf dem Gerät gespeicherte Seite bereitzustellen.

IT-Teams nutzen dies, um das Portal-Design, die Wartung von Social-Login-APIs und die Erfassung von GDPR-Einwilligungen an eine spezialisierte Plattform auszulagern, was den betrieblichen Aufwand für das Netzwerkteam verringert.

Walled Garden

Eine explizite Allowlist von IP-Adressen, Domains und Subnetzen, auf die ein Client-Gerät zugreifen darf, bevor es sich erfolgreich im Netzwerk authentifiziert hat.

Entscheidend dafür, dass Geräte Grafiken des Captive Portals laden, Social-Media-Logins verarbeiten und DNS-Abfragen auflösen können, bevor sie vollen Internetzugang haben. Bei Fehlkonfiguration die häufigste Ursache für Ausfälle des Captive Portals.

RADIUS Accounting

Der Protokollmechanismus unter Verwendung von UDP-Port 1813, der die Sitzungsdauer, den Bandbreitenverbrauch und das Datenübertragungsvolumen eines Benutzers verfolgt und diese Daten an den RADIUS-Server zurückmeldet.

Purple ist auf präzise Accounting-Daten der Fortinet-Hardware angewiesen, um Analyse-Dashboards zu befüllen und Zeit- oder Datenlimits für Gästesitzungen durchzusetzen. Muss separat von der Authentifizierung konfiguriert werden.

FortiAuthenticator (FAC)

Die dedizierte Identity- und Access-Management-Appliance von Fortinet, die für die interne 802.1X-Netzwerkauthentifizierung von Mitarbeitern, Single Sign-On und Zertifikatsverwaltung verwendet wird.

IT-Manager müssen häufig sicherstellen, dass die Bereitstellung von Purple für Gäste die bestehende FAC-Infrastruktur für interne Mitarbeiter nicht beeinträchtigt. Die Lösung ist immer die SSID-Segregation.

Bridge Mode SSID

Eine Wireless-Konfiguration, bei der der Access Point als transparente Layer-2-Bridge fungiert und den Client-Verkehr direkt an ein bestimmtes VLAN im kabelgebundenen Netzwerk weiterleitet, anstatt NAT durchzuführen.

Wird in Enterprise-Bereitstellungen bevorzugt, da bestehende Core-DHCP-Server IP-Adressen verwalten können, DHCP-Engpässe auf der FortiGate vermieden werden und der Purple-Analyseplattform die echten Client-IPs bereitgestellt werden.

Post-Authentication Policy

Die Firewall-Regeln und UTM-Profile (Unified Threat Management), die erst dann auf den Datenverkehr eines Benutzers angewendet werden, wenn dieser sich erfolgreich über das Captive Portal authentifiziert hat.

Hier wenden Netzwerkarchitekten Web-Filtering, Application Control und Bandbreitenbegrenzung an, um das Netzwerk des Standorts vor schädlichen Aktivitäten von Gästen zu schützen. Purple übernimmt die Identität, FortiGate die Durchsetzung.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der ein Framework für die Authentifizierung von Geräten bietet, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, unter Verwendung von EAP-Methoden wie PEAP oder EAP-TLS.

Wird für den sicheren Mitarbeiterzugang über den FortiAuthenticator verwendet, im Gegensatz zur offenen, portalbasierten Authentifizierung für Gäste über Purple. Beide Authentifizierungsmethoden koexistieren auf separaten SSIDs.

RADIUS-as-a-Service

Eine von Purple bereitgestellte, in der Cloud gehostete RADIUS-Infrastruktur, die es überflüssig macht, dass Standorte lokale RADIUS-Server wie FreeRADIUS oder Windows NPS bereitstellen und warten müssen.

Reduziert den Infrastrukturaufwand für IT-Teams und gewährleistet gleichzeitig hohe Verfügbarkeit und nahtlose Integration mit der Captive Portal-Plattform. Besonders wertvoll für verteilte Einzelhandels- oder Hotellerie-Szenarien.

FortiGuard

Der cloudbasierte Threat-Intelligence- und Content-Filtering-Abonnementdienst von Fortinet, der Echtzeit-Web-Filtering, Application Control und Intrusion-Prevention-Signaturen für FortiGate-Appliances bereitstellt.

Wird über Post-Authentication-Firewall-Richtlinien angewendet, um den Internetverkehr von Gästen zu prüfen und zu kontrollieren, nachdem Purple den Benutzer authentifiziert hat, wodurch das Netzwerk und die IP-Reputation des Standorts geschützt werden.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern nutzt derzeit eine FortiGate 100F und FortiAPs. Für die 802.1X-Authentifizierung der Mitarbeiter wird der FortiAuthenticator verwendet. Nun soll Purple WiFi für Gäste implementiert werden, um Marketingdaten zu erfassen. Der IT-Leiter befürchtet jedoch, dass das Gästeportal den bestehenden Authentifizierungsfluss der Mitarbeiter stören könnte.

Implementieren Sie eine strikte SSID-Segregation. Behalten Sie die bestehende, für WPA2-Enterprise konfigurierte Staff_WiFi-SSID bei, die auf den FortiAuthenticator-RADIUS-Server auf Port 1812 verweist. Erstellen Sie eine neue, separate Guest_WiFi-SSID, die als offenes Netzwerk mit aktiviertem externen Captive Portal konfiguriert ist. Konfigurieren Sie die URL des Captive Portals so, dass sie auf die Splash-Page von Purple verweist, und konfigurieren Sie die RADIUS-Einstellungen für diese spezifische SSID so, dass sie auf die Cloud-RADIUS-Server von Purple verweisen (Port 1812 für Auth, Port 1813 für Accounting). Weisen Sie die Gäste-SSID einem isolierten VLAN mit einer dedizierten Firewall-Richtlinie zu. Die FortiGate leitet Authentifizierungsanfragen basierend auf der Ursprungs-SSID weiter, wodurch jegliche Interferenz zwischen den beiden Authentifizierungssystemen ausgeschlossen wird.

Kommentar des Prüfers: Dieser Ansatz nutzt die Fähigkeit der FortiGate, Authentifizierungsparameter pro SSID zu definieren. Er löst die Koexistenzanforderung elegant, ohne dass ein komplexes RADIUS-Proxying oder bedingte Weiterleitungsregeln auf dem FortiAuthenticator erforderlich sind. Die entscheidende Erkenntnis ist, dass die FortiGate als Durchsetzungspunkt für die Datenverkehrsrichtlinien beider SSIDs fungiert, während die Identitätsprüfung an die jeweils geeignete Plattform für den jeweiligen Benutzertyp delegiert wird.

Eine Einzelhandelskette stellt FortiCloud APs an 50 Standorten bereit. Sie möchte Purple WiFi für Gäste-Analysen nutzen. Beim Testen am ersten Standort verbindet sich der Gast mit dem WiFi, aber sein Gerät zeigt anstelle der Purple-Splash-Page eine leere Seite oder einen Verbindungszeitüberschreitungsfehler an.

Das IT-Team muss die Walled Garden-Konfiguration in den SSID-Einstellungen der FortiCloud APs überprüfen und aktualisieren. Der FortiAP blockiert derzeit die HTTP/HTTPS-Anfragen des Clients an die Ressourcen des Purple-Portals vor der Authentifizierung. Das Team muss die vollständige Liste der von Purple benötigten Domains – einschließlich CDN-Endpunkte und Domains von Social-Login-Anbietern – in die Walled Garden-Allowlist eintragen. Zudem muss überprüft werden, ob die Pre-Authentication-Richtlinie DNS-Verkehr auf UDP-Port 53 explizit zulässt, damit das Client-Gerät den Portal-Hostnamen auflösen kann. Sobald dies am ersten Standort korrigiert wurde, sollte diese Konfiguration als Vorlage dienen und konsistent auf alle 50 Standorte angewendet werden.

Kommentar des Prüfers: Fehlkonfigurationen des Walled Garden sind die mit Abstand häufigste Ursache für Ausfälle von Captive Portals bei allen Hardware-Herstellern. Die Lösung identifiziert korrekt, dass der Datenverkehr vor der Authentifizierung explizit zugelassen werden muss. Wenn das Gerät das CSS, JavaScript oder die Social-Login-APIs des Portals nicht erreichen kann, kann der Authentifizierungsfluss nicht gestartet werden. Die Standardisierung der Fehlerbehebung über alle Standorte hinweg verhindert, dass dasselbe Problem im großen Stil erneut auftritt.

Übungsfragen

Q1. Ihre Bereitstellung erfordert, dass sich Gäste über eine Purple-Splash-Page authentifizieren. Sie haben die SSID, die RADIUS-Server und die Redirect-URL konfiguriert. Beim Verbinden melden die Geräte der Gäste jedoch sofort 'Keine Internetverbindung' und das Portal öffnet sich nicht automatisch. Was ist das wahrscheinlichste Versäumnis bei der Konfiguration?

Hinweis: Überlegen Sie, welchen Netzwerkzugriff ein Gerät benötigt, bevor es sich vollständig im Netzwerk authentifiziert hat.

Musterlösung anzeigen

Der Walled Garden (Pre-Authentication-Allowlist) ist wahrscheinlich unvollständig oder fehlt gänzlich. Das Gerät benötigt eine explizite Berechtigung, um die Portal-Domains von Purple sowie die Social-Login-APIs (Facebook, Google) zu erreichen und eine DNS-Auflösung durchzuführen, bevor die FortiGate vollen Zugriff gewährt. Ohne dies kann der Captive Portal-Assistent des Geräts die Ziel-URL nicht erreichen, um das Pop-up auszulösen. Überprüfen Sie außerdem, ob DNS-Verkehr auf UDP-Port 53 in der Pre-Authentication-Richtlinie zugelassen ist.

Q2. Bei einer Stadion-Bereitstellung werden während Veranstaltungen 15.000 gleichzeitige Gastverbindungen erwartet. Das aktuelle Design sieht vor, die FortiGate im NAT-Modus zu betreiben, um der Gäste-SSID DHCP-Adressen aus einem einzigen /20-Subnetz bereitzustellen. Warum könnte diese Architekturentscheidung zu Betriebsproblemen führen, und was ist die empfohlene Alternative?

Hinweis: Berücksichtigen Sie die Verarbeitungslast auf der FortiGate-Firewall und die Auswirkungen von DHCP-Lease-Fluktuationen bei hoher Skalierung.

Musterlösung anzeigen

Die Verwendung des NAT-Modus verlagert die gesamte DHCP-Verarbeitungslast auf die FortiGate, was bei der schnellen Lease-Fluktuation von 15.000 temporären Geräten, die sich während einer Veranstaltung an- und abmelden, zu Engpässen führen kann. Ein einzelnes /20-Subnetz bietet nur 4.094 nutzbare Adressen, was für Spitzenzeiten bei gleichzeitigen Verbindungen unzureichend sein kann. Darüber hinaus verschleiert der NAT-Modus die echte Client-IP vor der Purple-Plattform, was die Analysetiefe einschränkt. Der empfohlene Ansatz ist der Bridge-Modus, bei dem der Gästeverkehr in ein dediziertes VLAN geleitet wird, das von einer robusten externen Enterprise-DHCP-Infrastruktur mit entsprechend dimensionierten Adresspools verwaltet wird.

Q3. Der CISO schreibt vor, dass der WiFi-Verkehr der Gäste nicht mehr als 20 % der gesamten Internetbandbreite des Standorts beanspruchen darf und dass Gäste am Zugriff auf Peer-to-Peer-Tauschbörsen gehindert werden müssen. Wo in der Fortinet-Purple-Architektur wird diese Richtlinie durchgesetzt und welche spezifischen Fortinet-Funktionen sind erforderlich?

Hinweis: Bestimmen Sie, welche Komponente die Datenverkehrsprüfung und Richtliniendurchsetzung übernimmt, nachdem die Identität des Benutzers durch Purple verifiziert wurde.

Musterlösung anzeigen

Diese Richtlinie wird auf der FortiGate-UTM-Appliance über die Post-Authentication-Firewall-Richtlinie durchgesetzt, die auf das Gäste-VLAN angewendet wird. Während Purple die Authentifizierung und Identitätserfassung übernimmt, bleibt die FortiGate für die Layer-7-Datenverkehrsprüfung und -durchsetzung verantwortlich. Das Netzwerkteam muss ein FortiGuard Application Control-Profil konfigurieren, um P2P-Kategorien (BitTorrent, eDonkey usw.) zu blockieren, und ein Traffic-Shaper-Profil auf die Gästerichtlinie anwenden, um das Bandbreitenlimit von 20 % durchzusetzen. Beide Profile müssen in der Post-Authentication-Firewall-Richtlinie referenziert werden, nicht in der Pre-Authentication-Walled-Garden-Richtlinie.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.