Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

📖 9 Min. Lesezeit📝 2,079 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zur Purple Technical Briefing Series. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Bereitstellungsmuster, das in den Bereichen Gastgewerbe, Einzelhandel und Multi-Tenant-Liegenschaften immer häufiger anzutreffen ist: der Integration von Grandstream GWN Access Points mit der Guest-WiFi-Plattform von Purple.

Wenn Sie ein MSP, ein internes IT-Team oder ein Netzwerkarchitekt sind, der mit einer Grandstream GWN-Bereitstellung betraut wurde und nun ein gebrandetes Captive Portal mit Analysen integrieren soll, ist diese Episode genau das Richtige für Sie. Wir decken den gesamten Stack ab: Weiterleitung der Guest-Splash-Page, Walled-Garden-Konfiguration, sicheres Mitarbeiter-WiFi mittels 802.1X und Multi-Tenant-Segmentierung über die Private Pre-Shared Key-Funktion von Grandstream. Legen wir los.

---

Zunächst ein wenig Kontext. Die GWN-Serie von Grandstream ist eine solide Access-Point-Reihe für den Mittelstand. Für Innenbereiche gibt es die Modelle GWN7600 und GWN7630, für Wi-Fi 6-Umgebungen die Modelle GWN7660 und GWN7664 sowie den GWN7610 als Deckenmontage-Option für Bereiche mit höherer Dichte. Die Verwaltung erfolgt entweder über den GWN Manager, einen On-Premise-Controller, den Sie auf einem Linux- oder Windows-Server installieren, oder über GWN dot Cloud, die Cloud-basierte Management-Plattform von Grandstream, die jetzt unter dem Namen GDMS Networking läuft.

Die gute Nachricht für MSPs ist, dass beide Management-Plattformen die Konfiguration von Captive Portals nativ unterstützen. Sie können die Portal-Richtlinie erstellen, die Splash-Page anpassen und sie vollständig innerhalb von GWN Manager oder GWN dot Cloud einer SSID zuweisen. Bei Enterprise-Bereitstellungen, die eine GDPR-konforme Datenerfassung, Marketing-Automatisierung und Echtzeit-Analysen erfordern, werden Sie dieses native Portal jedoch durch eine externe Plattform ersetzen. Genau hier kommt Purple ins Spiel.

Purple fungiert als Cloud-Overlay. Es setzt auf Ihrer Hardware auf und stellt das Captive Portal, die RADIUS-Authentifizierungsebene, die Analyse-Engine und die Marketing-Tools bereit. Purple unterstützt 80.000 Live-Standorte und hat allein im Jahr 2024 440 Millionen Logins verarbeitet. Die Plattform ist also im großen Maßstab bestens bewährt. Die Integration mit Grandstream GWN folgt demselben standardbasierten Ansatz, den Purple auch bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi einsetzt.

---

Kommen wir zur technischen Architektur. Der Guest-WiFi-Ablauf auf Grandstream GWN mit Purple funktioniert wie folgt.

Ein Gast verbindet sich mit Ihrer Guest-SSID. Sein Gerät sendet eine HTTP-Anfrage an eine beliebige Website. Der GWN Access Point fängt diese Anfrage ab und gibt einen HTTP 302-Redirect an die Portal-URL von Purple aus. Der Gast landet auf Ihrer von Purple gehosteten, gebrandeten Splash-Page. Er authentifiziert sich, sei es per E-Mail, Social Login, SMS-Verifizierung oder über ein benutzerdefiniertes Formular. Die Plattform von Purple validiert diese Authentifizierung, erfasst die Einwilligung und die Daten gemäß GDPR und sendet anschließend ein RADIUS Access-Accept an den GWN Access Point zurück. Der AP gewährt den Internetzugang. Der gesamte Ablauf dauert von der Verbindung bis zum Internetzugang etwa drei bis fünf Sekunden.

Die wichtigsten Konfigurationskomponenten auf der Grandstream-Seite sind: die Captive Portal-Richtlinie, die Splash-Page-Einstellungen, der Walled Garden und die SSID-Zuordnung. Lassen Sie uns die einzelnen Schritte durchgehen.

---

Schritt eins: Konfigurieren Sie die Captive Portal-Richtlinie im GWN Manager oder in GWN.Cloud.

Navigieren Sie zu Captive Portal, dann Policy List, und erstellen Sie eine neue Richtlinie. Vergeben Sie einen aussagekräftigen Namen, wie beispielsweise „Purple-Guest-Portal“. Setzen Sie den Authentication Type auf RADIUS Server. Sie sehen dann Felder für RADIUS Server Address, RADIUS Server Port und RADIUS Server Secret. Geben Sie die RADIUS-Server-IP-Adresse von Purple und den Port 1812 für die Authentifizierung ein. Ihr Shared Secret finden Sie in der Admin-Konsole des Purple-Portals im Bereich für die Hardwarekonfiguration des Standorts. Setzen Sie die RADIUS Authentication Method auf PAP, da der Captive Portal-Flow von Purple dieses Verfahren nutzt.

Unter Landing Page wählen Sie Redirect to External Page und geben Sie Ihre Purple-Portal-Weiterleitungs-URL ein. Dies ist die URL, an die Gäste weitergeleitet werden, wenn sie sich zum ersten Mal verbinden. Auch diese finden Sie in Ihrer Purple-Admin-Konsole.

Stellen Sie die Expiration-Zeit so ein, dass sie der Sitzungsrichtlinie Ihres Standorts entspricht. Für ein Hotel sind 24 Stunden typisch. Für ein Konferenzzentrum können Sie diese auf die Dauer der Veranstaltung einstellen. Für eine Einzelhandelsumgebung sind zwei bis vier Stunden üblich.

Aktivieren Sie den Failsafe Mode. Das ist wichtig. Wenn der GWN-Access-Point den RADIUS-Server von Purple nicht erreichen kann, gewährt der Failsafe Mode dennoch Internetzugang, anstatt alle Gäste zu blockieren. Bei den meisten Implementierungen im Hotel- und Gastgewerbe sowie im Einzelhandel sollte ein kurzer RADIUS-Ausfall nicht dazu führen, dass alle Gäste die Verbindung verlieren.

---

Schritt zwei: Konfigurieren Sie den Walled Garden.

Der Walled Garden ist die Liste der Domains und IP-Adressen, auf die Gäste zugreifen können, bevor sie sich über das Portal authentifiziert haben. Wenn Sie hier einen Fehler machen, sehen Gäste eine leere Seite oder ein fehlerhaftes Portal und machen das WiFi dafür verantwortlich.

Im GWN Manager wird der Walled Garden unter der Captive Portal-Richtlinie als Pre-Authentication Rules konfiguriert. Fügen Sie die folgenden Domains als Erlaubnisregeln hinzu: die Purple-Portal-Domain (portal.purple.ai), alle CDN-Domains, von denen die Splash-Page von Purple Ressourcen lädt (einschließlich cloudfront.net mit einem Platzhalter-Eintrag), Apples Endpunkt zur Erkennung von Captive Portals (captive.apple.com) und Googles Endpunkt für die Verbindungselement-Prüfung (connectivitycheck.gstatic.com).

Das Support-Portal von Purple verfügt über einen dynamischen Walled-Garden-Generator unter support.purple.ai. Wählen Sie Grandstream aus der Hardwareliste aus, bestimmen Sie Ihre Authentifizierungsmethoden, und das Tool generiert genau die Domainliste, die Sie benötigen. Verwenden Sie diese Liste. Versuchen Sie nicht, sie manuell von Grund auf neu zu erstellen.

Eine Entscheidung müssen Sie treffen: Nehmen Sie captive.apple.com in den Walled Garden auf oder nicht? Wenn Sie die Adresse aufnehmen, zeigen iOS-Geräte den Captive Network Assistant Mini-Browser nicht automatisch an. Gäste müssen dann manuell einen Browser öffnen, um das Portal zu erreichen. Wenn Sie sie ausschließen, öffnet iOS den Mini-Browser automatisch, sobald sich das Gerät verbindet. Für die meisten Umgebungen im Gastgewerbe ist es wünschenswert, dass der Mini-Browser erscheint. Lassen Sie captive.apple.com daher aus dem Walled Garden draußen.

---

Schritt drei: SSID konfigurieren.

Navigieren Sie im GWN Manager zu SSID und bearbeiten Sie Ihre Gäste-SSID. Aktivieren Sie das Captive Portal und wählen Sie die soeben erstellte Richtlinie aus. Stellen Sie die SSID auf WPA2-Personal mit einem einfachen, offenen Passwort ein oder konfigurieren Sie sie als offene SSID, falls Ihr Standort diesen Ansatz bevorzugt. Die Sicherheit in diesem Ablauf resultiert aus der Portal-Authentifizierung, nicht aus dem WiFi-Passwort.

Aktivieren Sie die Client-Isolierung. Dies verhindert, dass Gäste die Geräte der anderen im Netzwerk sehen. Dies ist eine grundlegende Sicherheitsanforderung und ein Aspekt der PCI DSS, falls Ihr Standort Kartenzahlungen über dieselbe Infrastruktur abwickelt.

Weisen Sie die SSID Ihrem Gäste-VLAN zu. VLAN 10 ist eine gängige Konvention für den Datenverkehr von Gästen. Stellen Sie sicher, dass Ihr Upstream-Switch und -Router so konfiguriert sind, dass sie dieses VLAN mit entsprechenden Firewall-Regeln ins Internet leiten.

---

Sprechen wir nun über das Mitarbeiter-WiFi mit 802.1X.

IEEE 802.1X ist der Standard für die portbasierte Netzwerkzugriffskontrolle. Für das Mitarbeiter-WiFi ersetzt es den gemeinsamen Pre-Shared Key durch benutzerspezifische Anmeldedaten, die mit einem Identitätsanbieter abgeglichen werden. Wenn sich ein Mitarbeiter verbindet, fungiert der GWN Access Point als Authentifikator, sein Gerät als Supplikant und der RADIUS-Server von Purple als Authentifizierungsserver.

Erstellen Sie im GWN Manager eine separate SSID für Mitarbeiter. Stellen Sie den Sicherheitsmodus auf WPA2-Enterprise ein, wodurch 802.1X aktiviert wird. Konfigurieren Sie die RADIUS-Servereinstellungen mit der RADIUS-IP von Purple, Port 1812 und Ihrem Shared Secret. Aktivieren Sie das RADIUS-Accounting auf Port 1813, damit Sie ein vollständiges Audit-Protokoll erhalten, wer sich wann und wie lange verbunden hat. Dieses Audit-Protokoll ist das, was Sie für die GDPR-Compliance und für die Reaktion auf Sicherheitsvorfälle benötigen.

Für die EAP-Methode haben Sie zwei Hauptoptionen. EAP-TLS verwendet digitale Zertifikate sowohl auf dem Server als auch auf dem Client-Gerät. Dies ist die sicherste Option, erfordert jedoch eine Mobile-Device-Management-Plattform, um Zertifikate auf die Geräte der Mitarbeiter zu übertragen. Wenn Sie Microsoft Intune oder Jamf nutzen, ist EAP-TLS die richtige Wahl.

PEAP (Protected EAP) verwendet einen Benutzernamen und ein Passwort in einem verschlüsselten TLS-Tunnel. Die Bereitstellung ist einfacher, insbesondere für BYOD-Umgebungen, aber Sie müssen sicherstellen, dass die Mitarbeiter geschult sind, Zertifikatswarnungen nicht einfach zu akzeptieren. Ein manipulierter Access Point kann PEAP-Anmeldedaten abgreifen, wenn Benutzer Zertifikatsfehler einfach wegklicken.
Aktivieren Sie die dynamische VLAN-Zuweisung in den SSID-Einstellungen. Wenn diese Option aktiviert ist, kann der RADIUS-Server eine VLAN-ID im Access-Accept-Paket zurückgeben, und der GWN AP ordnet das verbundene Gerät diesem VLAN zu. Das bedeutet, dass Sie eine einzige Mitarbeiter-SSID haben können, aber IT-Mitarbeiter automatisch in das VLAN 20 segmentiert werden, das Management in das VLAN 21 und Point-of-Sale-Geräte in das VLAN 40 – alles basierend auf der Identität des Benutzers im Verzeichnis von Purple.

Die RADIUS-Attribute für dynamisches VLAN sind: Tunnel-Type auf VLAN gesetzt (Attributwert 13), Tunnel-Medium-Type auf IEEE-802 gesetzt (Attributwert 6) und Tunnel-Private-Group-ID auf die VLAN-Nummer als Zeichenfolge gesetzt. Diese drei Attribute im Access-Accept-Paket sind alles, was der GWN AP benötigt, um das Gerät an das richtige VLAN weiterzuleiten.

---

Nun zu der Funktion, die für mandantenfähige Objekte besonders relevant ist: Grandstream Private Pre-Shared Keys oder PPSK.

PPSK ist ein Mechanismus, der es einer einzigen SSID ermöglicht, mehrere eindeutige Passwörter zu unterstützen, die jeweils einem anderen VLAN oder einer anderen Netzwerkrichtlinie zugeordnet sind. Denken Sie an ein Mietshaus, einen Co-Working-Space oder ein Bürogebäude mit Service. Sie möchten, dass eine SSID für alle sichtbar ist, aber jeder Mieter erhält sein eigenes Passwort, das ihn in sein eigenes isoliertes Netzwerksegment einordnet.

Im GWN Manager wird PPSK unter den SSID-Einstellungen konfiguriert. Stellen Sie den Sicherheitsmodus auf WPA2-Personal ein und aktivieren Sie dann PPSK. Sie können dann einzelne PSK-Einträge erstellen, jeweils mit einem eindeutigen Passwort und einer zugehörigen VLAN-ID. Wenn sich ein Gerät mit dem Passwort von Mieter A verbindet, ordnet der AP es dem VLAN 31 zu. Wenn ein Gerät das Passwort von Mieter B verwendet, landet es im VLAN 32. Die Mieter teilen sich dieselbe SSID, sind aber auf der Netzwerkesuchebene vollständig voneinander isoliert.

Für größere Bereitstellungen unterstützt Grandstream auch PPSK mit RADIUS-Backend. In diesem Modus sendet der AP den PSK als RADIUS-Attribut an den Authentifizierungsserver, der ihn validiert und die entsprechende VLAN-Zuweisung zurückgibt. Hier lässt sich die Funktion Identity-Based Networks von Purple direkt integrieren. Purple kann die PPSK-Datenbank verwalten, Schlüssel mit seinem Verzeichnis abgleichen und dynamische VLAN-Zuweisungen zurückgeben, wodurch Sie hunderte von Mieter-Anmeldedaten von einer einzigen Plattform aus zentral verwalten können.

Das für die PPSK-Validierung verwendete RADIUS-Attribut ist in der Regel das Tunnel-Password-Attribut oder ein herstellerspezifisches Attribut, je nach Firmware-Version. Überprüfen Sie die Versionshinweise von Grandstream für Ihre spezifische Firmware, da sich die Attributzuordnung im Laufe der Versionen des GWN Managers weiterentwickelt hat.

---

Lassen Sie mich die zwei häufigsten Fehlermuster beschreiben, die ich bei Grandstream-Bereitstellungen mit externen Portalen sehe.

Das erste Problem ist, dass die Weiterleitung nicht funktioniert. Ein Gast verbindet sich mit der SSID, öffnet einen Browser und erhält anstelle der Portal-Seite die Fehlermeldung "Website ist nicht erreichbar". Die wahrscheinlichste Ursache ist eine Fehlkonfiguration des Walled Garden. Die Portal-Seite selbst wird vor der Authentifizierung blockiert. Öffnen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, prüfen Sie die Registerkarte „Netzwerk“ und identifizieren Sie, welche Anfragen fehlschlagen. Fügen Sie diese Domänen zu Ihren Pre-Authentication-Regeln hinzu.

Der zweite Fehlermodus ist ein RADIUS-Timeout. Der AP sendet einen Access-Request an den RADIUS-Server von Purple und erhält keine Antwort. Dies bedeutet in der Regel, dass eine Firewall den ausgehenden UDP-Port 1812 vom Management-VLAN des APs zum RADIUS-IP-Bereich von Purple blockiert. Überprüfen Sie Ihre Firewall-Regeln. Die RADIUS-IP-Adressen von Purple sind in der Purple-Administrationskonsole unter den Standorteinstellungen dokumentiert. Stellen Sie sicher, dass sowohl die primäre als auch die sekundäre RADIUS-IP zugelassen sind.

Ein dritter erwähnenswerter Punkt: Das dynamische VLAN funktioniert nicht. Mitarbeiter verbinden sich und landen im falschen VLAN. Die häufigste Ursache ist, dass „Dynamisches VLAN aktivieren“ in den SSID-Einstellungen im GWN-Manager nicht aktiviert ist. Dies ist ein einzelnes Kontrollkästchen, das leicht übersehen werden kann. Die zweite Ursache ist ein unpassendes Shared Secret. Wenn das Shared Secret auf dem AP nicht mit dem in Purple konfigurierten übereinstimmt, verwirft der AP die RADIUS-Antwort stillschweigend und fällt auf das Standard-VLAN zurück.

---

Lassen Sie mich Ihnen zwei Praxisbeispiele geben, um dies zu verdeutlichen.

Szenario eins: ein Hotel mit 120 Zimmern. Das Hotel nutzt GWN7660 Access Points, die über GWN.Cloud verwaltet werden. Sie benötigen ein gebrandetes Gäste-Portal für Gäste, ein sicheres Mitarbeiternetzwerk für Rezeption und Housekeeping sowie ein separates Management-VLAN für das Property Management System.

Die Konfiguration verwendet drei SSIDs: Gäste-WiFi auf VLAN 10 mit der Purple Captive Portal-Richtlinie; Mitarbeiter-WiFi auf VLAN 20 mit WPA2-Enterprise und PEAP-Authentifizierung gegen den RADIUS von Purple; und eine versteckte Management-SSID auf VLAN 30 für PMS-Terminals. Die dynamische VLAN-Zuweisung auf der Mitarbeiter-SSID sorgt dafür, dass Geräte des Housekeepings im VLAN 21 mit eingeschränktem Internetzugang landen, während Geräte der Rezeption im VLAN 20 mit vollem Zugriff landen. Das Analytics-Dashboard von Purple zeigt dem Hotelbetreiber tägliche Gästezahlen, Sitzungsdauern und Opt-in-Raten für das Marketing, sodass das Marketingteam die erforderlichen Daten für gezielte Kampagnen erhält.

Szenario zwei: Ein Build-to-Rent-Apartmentkomplex mit 40 Wohneinheiten. Der Betreiber nutzt GWN7630 Access Points mit GWN Manager on-premise. Jedes Apartment benötigt sein eigenes isoliertes Netzwerk. Der Betreiber nutzt PPSK mit RADIUS-Backend. Purple verwaltet 40 eindeutige Mieter-Anmeldedaten, die jeweils einem dedizierten VLAN zugeordnet sind. Die Bewohner verbinden sich über das Passwort ihrer Wohneinheit mit der einzigen SSID „BuildingConnect“. Das Captive Portal von Purple übernimmt den ersten Onboarding-Flow, erfasst die Zustimmung der Bewohner und liefert dem Betreiber Belegungsanalysen sowie Interaktionsdaten. Zieht ein Bewohner aus, widerruft der Betreiber dessen PPSK-Anmeldedaten in der Admin-Konsole von Purple, und der Zugang wird sofort gesperrt. Das SSID-Passwort muss nicht geändert und die APs müssen nicht neu konfiguriert werden.

---

Schnellfragerunde. Drei Fragen, die mir bei Grandstream-Bereitstellungen ständig gestellt werden.

Frage eins: Kann ich GWN dot Cloud anstelle von GWN Manager für die Purple-Integration nutzen? Ja. Die Konfiguration des Captive Portals in GWN dot Cloud ist funktional identisch mit der im GWN Manager. Die Menüpfade sind dieselben. Die RADIUS- und Walled-Garden-Einstellungen befinden sich an den gleichen Stellen. GWN dot Cloud ist die bessere Wahl für MSPs, die mehrere Standorte verwalten, da Sie eine einzige zentrale Benutzeroberfläche für alle Bereitstellungen erhalten.

Frage zwei: Unterstützt Purple die nativen Analysen von Grandstream neben den eigenen? Purple ersetzt die nativen Analysen des Captive Portals durch eigene, detailliertere Datensätze. Sie erhalten Sitzungszahlen, Verweildauern, Opt-In-Raten, demografische Daten aus Formularfeldern und eine Integration mit Marketing-Plattformen. Die nativen GWN-Analysen für RF-Leistung, AP-Zustand und Client-Zahlen bleiben im GWN Manager oder in GWN dot Cloud neben den Portal-Analysen von Purple weiterhin verfügbar.

Frage drei: Welche Firmware-Version benötige ich auf den GWN APs für PPSK mit RADIUS? PPSK mit RADIUS-Backend erfordert die GWN-Firmware 1.0.19 oder höher auf der GWN76xx-Serie. Prüfen Sie vor der Bereitstellung die Versionshinweise von Grandstream. Die Verwendung einer veralteten Firmware ist die häufigste Ursache für unerwartetes Verhalten bei PPSK-Bereitstellungen.

---

Fazit. Die Integration von Grandstream GWN Access Points mit Purple ist ein unkomplizierter Prozess, wenn Sie die richtige Reihenfolge einhalten. Konfigurieren Sie zuerst die Einstellungen Ihres RADIUS-Servers in der Richtlinie des Captive Portals. Erstellen Sie Ihren Walled Garden mit dem Domain-Generator-Tool von Purple. Verknüpfen Sie die Richtlinie mit Ihrer Gäste-SSID und aktivieren Sie die Client-Isolierung. Aktivieren Sie für das Mitarbeiter-WiFi WPA2-Enterprise mit dynamischer VLAN-Zuweisung. Verwenden Sie für Immobilien mit mehreren Mietern PPSK mit RADIUS-Backend und verwalten Sie die Anmeldedaten zentral über Purple.

Die fünf Punkte, auf die es ankommt: RADIUS auf UDP 1812 mit einem übereinstimmenden Shared Secret; der Walled Garden, der alle Portal-Asset-Domains abdeckt; aktivierte Client-Isolierung auf der Gäste-SSID; aktiviertes dynamisches VLAN in den SSID-Einstellungen; und eine PPSK-Firmware in Version 1.0.19 oder höher.Wenn Sie diese fünf Punkte richtig umsetzen, haben Sie eine solide, skalierbare Bereitstellung, die Ihrem Standort jahrelang gute Dienste leisten wird. Das Onboarding-Team von Purple kann Ihre Konfiguration vor dem Go-live validieren, und die Betriebszeit der Plattform von 99,999 % bedeutet, dass Sie Hotelgästen um zwei Uhr morgens keine Portal-Ausfälle erklären müssen.

Vielen Dank fürs Zuhören. Weitere technische Anleitungen zu WiFi-Integrationen für Unternehmen finden Sie auf purple dot ai. In der nächsten Folge behandeln wir die dynamische VLAN-Zuweisung mit Microsoft Entra ID und der SecurePass-Funktion von Purple. Bis dahin.

Wichtigste Erkenntnisse

✓Grandstream GWN Access Points integrieren sich mit Purple über RADIUS (UDP 1812/1813) und HTTP-302-Weiterleitung, um sichere, gebrandete Captive Portals für Gäste-WiFi bereitzustellen.
✓Der Walled Garden (Pre-Authentication Rules) muss alle Purple Portal-Domains und CDN-Assets enthalten; verwenden Sie das dynamische Generator-Tool von Purple unter support.purple.ai, anstatt die Liste manuell zu erstellen.
✓Kopieren Sie das gemeinsame RADIUS-Geheimnis (Shared Secret) immer direkt aus der Purple-Admin-Konsole und fügen Sie es ein – eine Abweichung von nur einem Zeichen führt zu unbemerktem Paketverlust, der sich als Timeout und nicht als Authentifizierungsfehler darstellt.
✓Aktivieren Sie dynamisches VLAN in den SSID-Einstellungen, damit der RADIUS-Server von Purple authentifizierte Mitarbeiter mithilfe der Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID in das richtige Netzwerksegment steuern kann.
✓Grandstream PPSK mit RADIUS-Backend ermöglicht Multi-Tenant-Isolierung über eine einzige SSID; erfordert GWN-Firmware 1.0.19 oder höher und ein zentralisiertes Anmeldedaten-Management durch Purple.
✓Aktivieren Sie auf Gäste-SSIDs immer die Client-Isolierung (Client Isolation), um laterale Bewegungen zwischen Geräten zu verhindern und die PCI-DSS-Anforderungen für Standorte zu erfüllen, die Kartenzahlungen verarbeiten.
✓Die Verfügbarkeit von Purple von 99,999 % sowie die Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials machen es zu einer datenschutzkonformen Wahl für Enterprise- und Behörden-Deployments auf Grandstream-Hardware.

Executive Summary

Die Bereitstellung eines leistungsstarken drahtlosen Netzwerks in Unternehmensumgebungen erfordert ein ausgewogenes Verhältnis zwischen nahtloser Benutzererfahrung und robuster technischer Sicherheit. Für Organisationen, die Grandstream GWN-Architekturen nutzen – von Hotellerie und Einzelhandel bis hin zu Mehrfamilienhäusern –, dient das Grandstream Captive Portal als primäres Gateway für Benutzerinteraktion und Zugriffskontrolle. Dieser Leitfaden bietet eine Schritt-für-Schritt-Anleitung für die Integration von Grandstream GWN Access Points mit der Guest WiFi - und WiFi Analytics -Plattform von Purple.

Durch den Übergang von einfachen Pre-Shared Keys zu einer RADIUS-gestützten Authentifizierung und identitätsbasierten Netzwerken können Sie einen sicheren, segmentierten Zugriff für Gäste, Mitarbeiter und Mandanten bereitstellen. Dieser Leitfaden behandelt die kritischen Konfigurationskomponenten: RADIUS-AAA-Einstellungen, HTTP-302-Weiterleitung, Walled-Garden-Ausnahmen, dynamische VLAN-Steuerung und die Isolation von Mandanten über Private Pre-Shared Keys (PPSK). Purple ist in über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple), was die Skalierbarkeit der Plattform unter Beweis stellt.

Technische Vertiefung

Die Integrationsarchitektur

Die Integration zwischen Grandstream GWN-Hardware und Purple basiert auf branchenüblichen RADIUS- und HTTP-Weiterleitungsprotokollen. Wenn sich ein Benutzer mit der Gäste-SSID verbindet, fängt der GWN Access Point seine erste HTTP-Anfrage ab und leitet sie per HTTP 302 an die von Purple gehostete Captive Portal-URL weiter. Nachdem sich der Benutzer authentifiziert hat – per E-Mail, Social Login, SMS oder über ein benutzerdefiniertes Formular –, validiert Purple die Sitzung und sendet ein RADIUS Access-Accept-Paket über den UDP-Port 1812 an den Access Point zurück, um den Netzwerkzugriff freizugeben. RADIUS Accounting läuft auf dem UDP-Port 1813 und bietet einen vollständigen Sitzungs-Audit-Trail für die Einhaltung von GDPR und PCI DSS.

Grandstream GWN Access Points werden über eine von zwei Plattformen verwaltet. Der GWN Manager ist ein On-Premise-Controller, der auf einem Linux- oder Windows-Server installiert wird und sich für Bereitstellungen an einzelnen Standorten sowie für Organisationen mit Anforderungen an die Datensouveränität eignet. GDMS Networking (ehemals GWN.Cloud) ist die Cloud-gehostete Management-Plattform von Grandstream, die von MSPs bevorzugt wird, die mehrere Standorte über eine einzige Benutzeroberfläche verwalten. Beide Plattformen bieten identische Optionen für die Konfiguration des Captive Portals und der SSID.

Für Mitarbeiter- und Mieternetzwerke verlagert sich die Architektur auf IEEE 802.1X und PPSK. Bei einer 802.1X-Bereitstellung fungiert der Access Point als Authentifikator, der EAP-Nachrichten (Extensible Authentication Protocol) zwischen dem verbindenden Gerät und dem RADIUS-Server von Purple weiterleitet. Purple validiert die Anmeldedaten mit seinem Verzeichnis und kann herstellerspezifische Attribute (VSAs) zurückgeben, um das Gerät dynamisch in ein bestimmtes VLAN zu leiten. Das ist identitätsbasiertes Networking in der Praxis: eine SSID, mehrere Netzwerksegmente, alles gesteuert dadurch, wer der Benutzer ist.

In Umgebungen mit mehreren Mietern ermöglicht die PPSK-Funktion von Grandstream einer einzelnen SSID, mehrere eindeutige Passwörter zu unterstützen. Bei der Integration mit einem RADIUS-Backend sendet der Access Point den eingegebenen PSK zur Validierung an Purple. Dies ermöglicht eine zentrale Verwaltung der Anmeldedaten und eine dynamische Netzwerksegmentierung, ohne dass Dutzende von SSIDs ausgestrahlt werden müssen. PPSK mit RADIUS-Backend erfordert die GWN-Firmware-Version 1.0.19 oder höher auf der GWN76xx-Serie.

RADIUS-Attribute für dynamische VLAN-Steuerung

Die dynamische VLAN-Zuweisung wird durch drei Standard-IETF-RADIUS-Attribute gesteuert, die im Access-Accept-Paket zurückgegeben werden. Diese müssen in den RADIUS-Benutzerprofilen von Purple für jede Rolle oder jeden Mieter konfiguriert werden:

Attribut	Wert	Beschreibung
Tunnel-Type (64)	13 (VLAN)	Gibt den Tunneltyp als VLAN an
Tunnel-Medium-Type (65)	6 (IEEE-802)	Gibt das Medium als IEEE 802 an
Tunnel-Private-Group-ID (81)	z. B. "20"	Die Ziel-VLAN-ID als String

Alle drei Attribute müssen in der Access-Accept-Antwort vorhanden sein. Wenn eines fehlt, ignoriert der GWN-Access-Point die Anweisung zur VLAN-Steuerung und ordnet das Gerät dem Standard-VLAN zu.

Implementierungsleitfaden

Schritt 1: Konfigurieren der Captive Portal-Richtlinie

Unabhängig davon, ob Sie GWN Manager oder GDMS Networking verwenden, navigieren Sie zu Captive Portal > Policy List und erstellen Sie eine neue Richtlinie. Die folgende Tabelle fasst die erforderlichen Einstellungen für eine Purple-Integration zusammen:

Feld	Wert	Hinweise
Policy Name	Purple-Guest-Portal	Verwenden Sie einen aussagekräftigen Namen
Authentication Type	RADIUS Server	Aktiviert den RADIUS-Authentifizierungs-Flow
RADIUS Server Address	[Aus der Purple-Admin-Konsole]	Primäre RADIUS-IP
RADIUS Server Port	1812	Standard-RADIUS-Authentifizierungs-Port
RADIUS Server Secret	[Aus der Purple-Admin-Konsole]	Exakt kopieren und einfügen
RADIUS Auth Method	PAP	Erforderlich für das Purple Captive Portal
Landing Page	Redirect to External Page	Aktiviert die Weiterleitung zum externen Portal
Redirect URL	[Aus der Purple-Admin-Konsole]	Ihre eindeutige Portal-URL
Expiration	24h (Hotellerie) / 4h (Einzelhandel)	Passen Sie diese an Ihre Sitzungsrichtlinie an
Failsafe Mode	Enabled	Gewährt Zugriff, falls der RADIUS-Server nicht erreichbar ist

Step 2: Walled Garden konfigurieren

Der Walled Garden definiert, auf welche Domains ein Gerät vor der Authentifizierung zugreifen kann. Ein unvollständiger Walled Garden ist die häufigste Ursache für Fehler beim Laden des Portals. Im GWN Manager wird der Walled Garden unter der Captive Portal-Richtlinie als Pre-Authentication Rules konfiguriert.

Sie müssen mindestens Folgendes angeben: die Purple-Portal-Domain (portal.purple.ai), CDN-Asset-Domains (*.cloudfront.net) und den Verbindungstest-Endpunkt von Google (connectivitycheck.gstatic.com). Für Social Login fügen Sie die entsprechenden Domains der sozialen Netzwerke hinzu.

Die Entscheidung bezüglich captive.apple.com ist bewusst getroffen. Schließen Sie sie aus, um den iOS Captive Network Assistant (CNA) Mini-Browser automatisch auszulösen, wenn ein Gerät eine Verbindung herstellt. Schließen Sie sie ein, wenn Sie es vorziehen, dass Gäste einen Browser manuell öffnen. Für die meisten Hotel- und Gastgewerbe- Implementierungen bietet der Ausschluss eine bessere Benutzererfahrung für Gäste.

Nutzen Sie den dynamischen Walled Garden-Generator von Purple unter support.purple.ai. Wählen Sie Grandstream aus der Hardwareliste, wählen Sie Ihre Authentifizierungsmethoden, und das Tool generiert genau die Domainliste, die Sie benötigen. Erstellen Sie die Liste nicht manuell.

Step 3: Captive Portal mit der Gäste-SSID verknüpfen

Navigieren Sie zu den SSID-Einstellungen und bearbeiten Sie Ihr Gästenetzwerk. Aktivieren Sie die Captive Portal-Funktion und wählen Sie die von Ihnen erstellte Richtlinie aus. Weisen Sie die SSID Ihrem zugewiesenen Gäste-VLAN zu (VLAN 10 ist die übliche Konvention). Aktivieren Sie Client Isolation, um zu verhindern, dass Gastgeräte miteinander kommunizieren – dies ist eine grundlegende Sicherheitsanforderung und eine PCI-DSS-Überlegung für jeden Standort, der Kartenzahlungen verarbeitet.

Step 4: Sicheres Mitarbeiter-WiFi mit 802.1X konfigurieren

Erstellen Sie eine separate SSID für Mitarbeiter. Stellen Sie den Sicherheitsmodus auf WPA2-Enterprise ein, um IEEE 802.1X zu aktivieren. Konfigurieren Sie den RADIUS-Server so, dass er auf Port 1812 auf Purple verweist, und aktivieren Sie RADIUS Accounting auf Port 1813. Diese Accounting-Daten liefern den für die GDPR-Compliance und die Reaktion auf Sicherheitsvorfälle erforderlichen Audit-Trail.

Für die EAP-Methode wählen Sie basierend auf Ihren Geräteverwaltungsfunktionen. EAP-TLS verwendet eine gegenseitige Zertifikatsauthentifizierung – die sicherste Option, die den Diebstahl von Anmeldedaten vollständig ausschließt, aber eine Mobile-Device-Management-Plattform (Microsoft Intune oder Jamf) erfordert, um Zertifikate auf Geräte zu übertragen. PEAP verwendet einen Benutzernamen und ein Passwort in einem verschlüsselten TLS-Tunnel, was in BYOD-Umgebungen einfacher bereitzustellen ist, aber Schulungen der Mitarbeiter bezüglich Zertifikatswarnungen erfordert. Aktivieren Sie Dynamic VLAN in den SSID-Einstellungen. Der RADIUS-Server von Purple gibt die drei Tunnel-Attribute zurück, um jedes authentifizierte Gerät an sein zugewiesenes VLAN weiterzuleiten. Das IT-Personal landet in VLAN 20, das Management in VLAN 21, Kassenterminals in VLAN 40 – alles über eine einzige SSID, gesteuert durch Identität.

Weitere Richtlinien für Mitarbeiternetzwerke finden Sie unter Staff WiFi Terms and Conditions: Legal and Compliance Essentials .

Schritt 5: Multi-Tenant-PPSK konfigurieren

Erstellen Sie für Multi-Tenant-Umgebungen eine SSID mit WPA2-Personal-Sicherheit und aktivieren Sie PPSK. Um Purple als RADIUS-Backend für die PPSK-Validierung zu nutzen, konfigurieren Sie die RADIUS-Server-Einstellungen im PPSK-Bereich der SSID. Purple verwaltet die PSK-Datenbank, validiert jeden Schlüssel und gibt die entsprechende VLAN-Zuweisung zurück.

Jeder Mieter erhält ein eindeutiges Passwort. Bei der Verbindung sendet der AP den PSK an Purple, das die korrekte VLAN-ID zurückgibt. Mieter A landet in VLAN 31, Mieter B in VLAN 32. Sie teilen sich dieselbe SSID, sind aber auf der Netzwerkschicht vollständig voneinander isoliert. Wenn ein Mieter auszieht, widerrufen Sie dessen Zugangsdaten in der Admin-Konsole von Purple. Der Zugriff wird sofort beendet. Keine Neukonfiguration der APs erforderlich.

Ein tieferes Verständnis der Sicherheitsarchitektur für Unternehmens-WiFi finden Sie unter Enterprise WiFi Security: A Complete Guide for 2026 .

Best Practices

Konfigurieren Sie immer RADIUS-Accounting. Aktivieren Sie Accounting auf Port 1813 sowohl für Gäste- als auch für Mitarbeiter-SSIDs. Accounting-Daten speisen das Analytics-Dashboard von Purple mit Sitzungsdauern sowie Besuchsfristen und liefern den im Rahmen der GDPR erforderlichen Prüfpfad. Ohne Accounting verfügen Sie zwar über Authentifizierungsdaten, aber nicht über Sitzungsdaten.

Kopieren Sie das Shared Secret per Copy-and-paste. Ein nicht übereinstimmendes RADIUS Shared Secret führt dazu, dass der Access Point Pakete stillschweigend verwirft. Der AP registriert ein Timeout anstelle eines Authentifizierungsfehlers. Dies ist der häufigste Konfigurationsfehler bei neuen Implementierungen. Kopieren Sie das Secret direkt aus der Purple-Admin-Konsole.

Nutzen Sie den Walled-Garden-Generator von Purple. Moderne Captive Portal-Seiten laden Assets von mehreren CDN-Domains, Social-Login-SDKs und Analyse-Skripten. Das manuelle Erstellen des Walled Garden ist fehleranfällig. Der Generator unter support.purple.ai berücksichtigt alle erforderlichen Domains basierend auf Ihren Authentifizierungsmethoden.

Isolieren Sie den Gästeverkehr am Access Point. Die Client-Isolierung ist eine unverzichtbare Grundlage für jede Gäste-SSID. Sie verhindert laterale Bewegungen zwischen Gästegeräten und ist eine Anforderung gemäß PCI DSS für Standorte, die Kartenzahlungen über dieselbe Netzwerkinfrastruktur abwickeln.

Validieren Sie die Firmware vor der Bereitstellung von PPSK mit RADIUS. PPSK mit RADIUS-Backend erfordert die GWN-Firmware 1.0.19 oder höher. Das Ausführen veralteter Firmware ist die häufigste Ursache für unerwartetes Verhalten bei PPSK-Bereitstellungen. Überprüfen Sie die Firmware-Version vor der Bereitstellung, nicht danach. For retail deployments, ensure your guest SSID VLAN is firewalled from any payment network segment. For healthcare environments, ensure patient or visitor WiFi is isolated from clinical systems. For transport hubs, consider session expiry policies aligned with average dwell times.

Troubleshooting & risk mitigation

Symptom: The splash page fails to load, returning a 'site cannot be reached' error. The walled garden is blocking the portal page assets. Connect a test device, open browser developer tools, inspect the network tab, and identify blocked requests. Add the failing domains to the Pre-Authentication Rules in the captive portal policy.

Symptom: Guests authenticate but the access point times out and denies internet access. Either a firewall is blocking UDP 1812 outbound from the AP's management VLAN to Purple's RADIUS IP range, or the shared secret is mismatched. Check firewall rules first. Then verify the shared secret matches exactly on both sides.

Symptom: Staff devices land on the default VLAN instead of their assigned VLAN. The Enable Dynamic VLAN checkbox is not ticked in the SSID settings. It is a single checkbox and easy to miss. The second cause is a shared secret mismatch causing the AP to silently ignore the RADIUS response.

Symptom: iOS devices do not show the captive portal mini-browser. The captive.apple.com domain is in the walled garden. iOS probes this domain on connection. If it receives a 200 response, it assumes internet access is available and does not trigger the CNA. Remove it from the walled garden to restore automatic CNA behaviour.

Symptom: PPSK tenants land on the wrong VLAN. Verify the GWN firmware is at version 1.0.19 or higher. Confirm the PPSK RADIUS backend is enabled and the shared secret matches. Check that Purple's RADIUS user profile for the PSK is returning the correct Tunnel-Private-Group-ID attribute.

ROI & business impact

Integrating Grandstream GWN hardware with Purple transforms WiFi from a sunk cost into a measurable business asset. By replacing generic open networks with authenticated captive portals, venues capture first-party data and drive loyalty program growth. Purple has collected 29 billion data points across its network (Purple internal data), giving operators the benchmarks to measure their own performance.

In hospitality environments, Purple's analytics provide visibility into guest visit frequency, dwell times, and opt-in rates. A hotel operator using Purple's Engage plan can segment returning guests for targeted campaigns, driving direct bookings and reducing OTA dependency. In retail environments, footfall analytics from WiFi data enable store managers to correlate traffic patterns with sales performance.

Die Implementierung von 802.1X und PPSK reduziert den IT-Helpdesk-Aufwand durch die Automatisierung der Netzwerkzugriffskontrolle. Der Wegfall gemeinsam genutzter Passwörter macht die Betriebskosten für Passwortrotationen und das Sicherheitsrisiko der Weitergabe von Zugangsdaten überflüssig. Für Multi-Tenant-Betreiber bedeutet PPSK mit der zentralisierten Verwaltung von Purple, dass das Onboarding eines neuen Mieters Minuten statt Stunden dauert.

Die Ausfallzeit von Purple von 99,999 % (interne Daten von Purple) und die Zertifizierungen nach ISO 27001, GDPR, CCPA und Cyber Essentials bedeuten, dass die Plattform die Compliance-Anforderungen der anspruchsvollsten Unternehmen und Betreiber im öffentlichen Sektor erfüllt. Eine vollständige Übersicht über die Analysefunktionen für Gäste-WiFi finden Sie unter WiFi Analytics .

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die nicht authentifizierten HTTP-Traffic von einem verbundenen Gerät abfängt und den Benutzer zwingt, zu interagieren oder sich zu authentifizieren, bevor er Internetzugang erhält. Das Grandstream Captive Portal nutzt HTTP 302-Weiterleitungen, um Benutzer zu einer externen Portal-URL zu leiten.

Der primäre Mechanismus zur Erfassung von Gästedaten, zur Akzeptanz von Nutzungsbedingungen und zur Zugriffskontrolle an öffentlichen Standorten.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das über UDP läuft und eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet. Die Authentifizierung erfolgt über Port 1812, das Accounting über Port 1813.

Die Backend-Engine, die Anmeldedaten sowohl für Captive Portals als auch für 802.1X-Unternehmensnetzwerke validiert. Purple betreibt RADIUS-Server, mit denen GWN Access Points direkt kommunizieren.

Walled Garden

Eine vordefinierte Liste von IP-Adressen und Domains, auf die ein Gerät zugreifen kann, bevor der Authentifizierungsprozess am Captive Portal abgeschlossen ist. Konfiguriert als Pre-Authentication-Regeln im GWN Manager.

Unerlässlich, damit Geräte die Elemente der Portalseite, CDN-Ressourcen, Social-Login-Endpunkte und die Sonden zur Erkennung von Captive Portals der Betriebssysteme laden können.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen. Verwendet EAP zum Austausch von Anmeldedaten zwischen dem Gerät (Supplicant) und dem RADIUS-Server (Authentifizierungsserver) über den Access Point (Authenticator).

Ersetzt gemeinsam genutzte Passwörter durch benutzerbezogene Anmeldedaten für den sicheren Zugriff von Mitarbeitern und Unternehmen auf das WiFi. Erforderlich für GDPR- und PCI-DSS-konforme Mitarbeiternetzwerke.

PPSK

Private Pre-Shared Key; eine Funktion, die es einer einzelnen SSID ermöglicht, mehrere eindeutige Passwörter zu unterstützen, die jeweils an bestimmte Netzwerkrichtlinien oder VLANs gebunden sind. Grandstream GWN unterstützt PPSK mit lokalem Speicher oder RADIUS-Backend-Validierung.

Wird in Mandanten-Umgebungen wie Wohnungen, Coworking-Spaces und Serviced Offices eingesetzt, um Benutzer zu isolieren, ohne mehrere SSIDs auszustrahlen.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein RADIUS-Server drei spezifische Attribute im Access-Accept-Paket zurückgibt (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID), um ein authentifiziertes Gerät in ein bestimmtes VLAN zu steuern. Muss in den GWN SSID-Einstellungen explizit aktiviert werden.

Ermöglicht IT-Teams die Konsolidierung von SSIDs bei gleichzeitiger Beibehaltung einer strengen Netzwerksegmentierung für verschiedene Benutzergruppen, Abteilungen oder Mandanten.

Client-Isolierung

Eine drahtlose Sicherheitsfunktion, die verhindert, dass Geräte, die mit demselben Access Point verbunden sind, auf Layer 2 direkt miteinander kommunizieren.

Eine obligatorische Konfiguration für Gästenetzwerke, um Benutzer vor Peer-to-Peer-Angriffen zu schützen und die PCI-DSS-Anforderungen für Standorte mit Kreditkartenabwicklung zu erfüllen.

EAP-PEAP

Protected Extensible Authentication Protocol; eine 802.1X-EAP-Methode, die den Authentifizierungsaustausch in einem verschlüsselten TLS-Tunnel unter Verwendung von Benutzernamen und Passwort kapselt. Der äußere TLS-Tunnel schützt die inneren Anmeldedaten vor dem Abfangen.

Häufig verwendet für BYOD-Mitarbeiternetzwerke, bei denen die Bereitstellung von Client-Zertifikaten (EAP-TLS) betrieblich nicht machbar ist. Erfordert eine Schulung der Mitarbeiter zur Zertifikatsvalidierung, um Angriffe durch Rogue APs zu verhindern.

Failsafe-Modus

Eine Einstellung des GWN Captive Portals, die verbindenden Geräten Internetzugang gewährt, wenn der Access Point den konfigurierten RADIUS-Server nicht erreichen kann. Verhindert, dass ein RADIUS-Ausfall den gesamten Gastzugang blockiert.

Empfohlen für Installationen im Hotel- und Gastgewerbe sowie im Einzelhandel, bei denen die Konnektivität für Gäste geschäftskritisch ist und eine kurze RADIUS-Unterbrechung nicht zu einem vollständigen Serviceausfall führen darf.

GWN Manager

Die On-Premise-Management-Plattform von Grandstream für Access Points der GWN-Serie auf Enterprise-Niveau. Installiert auf einem lokalen Linux- oder Windows-Server bietet sie die vollständige Konfiguration von Captive Portal, SSID, RADIUS und PPSK.

Bevorzugt für Einzelstandorte und Organisationen mit Anforderungen an die Datensouveränität. GDMS Networking ist das cloudbasierte Äquivalent für MSP-Bereitstellungen an mehreren Standorten.

Ausgearbeitete Beispiele

Ein Hotel mit 120 Zimmern möchte ein gebrandetes Portal für Gäste, ein sicheres Mitarbeiternetzwerk mit VLAN-Segmentierung auf Abteilungsebene für Reinigungskraft und Rezeption sowie ein separates Management-VLAN für das Property-Management-System bereitstellen. Das Hotel verwendet Grandstream GWN7660 Access Points, die über GDMS Networking verwaltet werden.

Konfigurieren Sie drei SSIDs in GDMS Networking. Erstellen Sie zuerst 'Guest WiFi' zugewiesen zu VLAN 10. Erstellen Sie eine Captive Portal-Richtlinie mit dem Authentifizierungstyp 'RADIUS-Server', die auf die RADIUS-IP von Purple auf Port 1812 mit dem Shared Secret aus der Purple-Admin-Konsole verweist. Setzen Sie die Landing Page auf 'Redirect to External Page' mit der Purple-Portal-URL. Aktivieren Sie den Failsafe-Modus und die Client-Isolierung. Erstellen Sie zweitens 'Staff WiFi' mit WPA2-Enterprise (802.1X)-Sicherheit. Konfigurieren Sie RADIUS auf Port 1812 und Accounting auf Port 1813. Aktivieren Sie Dynamic VLAN. Richten Sie im Verzeichnis von Purple die Konten der Reinigungskräfte so ein, dass sie Tunnel-Private-Group-ID = 21 zurückgeben, und die Konten der Rezeption so, dass sie VLAN 20 zurückgeben. Erstellen Sie drittens eine ausgeblendete 'Management'-SSID auf VLAN 30 mit WPA2-Personal für PMS-Terminals. Erstellen Sie den Walled Garden mit dem Generator-Tool von Purple und schließen Sie captive.apple.com aus, um den iOS CNA auszulösen.

Kommentar des Prüfers: Diese Architektur segmentiert effektiv drei verschiedene Benutzergruppen und minimiert gleichzeitig den SSID-Overhead. Die Verwendung der dynamischen VLAN-Steuerung für Mitarbeiter macht die Ausstrahlung separater SSIDs für jede Abteilung überflüssig, was HF-Interferenzen reduziert und die Wireless-Umgebung vereinfacht. Das Analytics-Dashboard von Purple liefert dem Hotelbetreiber tägliche Gästezahlen, Sitzungsdauern und Marketing-Opt-In-Raten, wodurch das Marketingteam ohne zusätzliche Infrastruktur verwertbare Daten erhält.

Ein Wohnblock mit 40 Mieteinheiten benötigt einen isolierten Netzwerkzugriff für jeden Mieter, mit der Möglichkeit, den Zugriff bei Auszug eines Mieters sofort zu entziehen. Der Betreiber nutzt GWN7630 Access Points mit lokalem GWN Manager und möchte die Anzahl der sichtbaren SSIDs im Gebäude minimieren.

Stellen Sie eine einzige SSID mit dem Namen 'BuildingConnect' und WPA2-Personal-Sicherheit bereit und aktivieren Sie PPSK mit RADIUS-Backend. Stellen Sie sicher, dass die GWN-Firmware-Version 1.0.19 oder höher ist. Konfigurieren Sie die RADIUS-Servereinstellungen im PPSK-Bereich so, dass sie auf Purple verweisen. Erstellen Sie in der Admin-Konsole von Purple 40 eindeutige PSK-Anmeldedaten, die jeweils einem VLAN zugeordnet sind (z. B. VLAN 101 für Einheit 101, VLAN 102 für Einheit 102). Wenn sich ein Bewohner mit dem Passwort seiner Einheit verbindet, sendet der GWN AP den PSK an Purple. Purple validiert diesen und gibt Tunnel-Private-Group-ID = 101 zurück. Der Bewohner landet in seinem isolierten VLAN. Wenn ein Bewohner auszieht, entziehen Sie die Anmeldedaten in der Purple-Admin-Konsole. Der Zugriff wird sofort beendet, ohne dass eine AP-Rekonfiguration erforderlich ist.

Kommentar des Prüfers: PPSK mit einem RADIUS-Backend ist die optimale Lösung für Multi-Tenant-Umgebungen. Es bietet den Bewohnern die Einfachheit eines Standard-WiFi-Passworts und liefert gleichzeitig eine Isolierung auf Enterprise-Niveau. Dank der zentralisierten Verwaltung der Anmeldedaten in Purple kann der Betreiber auf Hunderte von Einheiten skalieren, ohne einzelne SSID-Konfigurationen verwalten zu müssen. Die Möglichkeit des sofortigen Entzugs ist ein erheblicher betrieblicher Vorteil gegenüber herkömmlichen PSK-Bereitstellungen, bei denen die Änderung eines gemeinsamen Passworts alle verbundenen Bewohner stören würde.

Übungsfragen

Q1. Sie haben die Captive Portal-Richtlinie im GWN Manager mit der korrekten Purple RADIUS-IP und dem Shared Secret konfiguriert, aber Gäste melden einen Fehler 'Seite kann nicht erreicht werden', wenn sich ihr Browser nach dem Verbinden mit der SSID öffnet. Was ist die wahrscheinlichste Ursache und wie diagnostizieren Sie diese?

Hinweis: Überlegen Sie, was steuert, auf welche Domains ein Gerät zugreifen kann, bevor es sich über das Portal authentifiziert hat.

Musterlösung anzeigen

Der Walled Garden (Pre-Authentication Rules) ist unvollständig oder fehlerhaft konfiguriert. Der Access Point blockiert das Gerät beim Erreichen der Purple-Portal-Domain oder der CDN-Ressourcen, die die Portal-Seite lädt. Zur Diagnose: Verbinden Sie ein Testgerät mit der Gäste-SSID, öffnen Sie die Entwicklertools des Browsers, wechseln Sie zur Registerkarte Netzwerk und versuchen Sie, die Portal-URL zu laden. Identifizieren Sie, welche Anfragen Verbindungsfehler zurückgeben. Fügen Sie diese Domains den Pre-Authentication Rules hinzu. Verwenden Sie den Walled Garden Generator von Purple unter support.purple.ai, um die vollständige Domainliste für Grandstream-Hardware zu erstellen.

Q2. Ihr Hotel möchte, dass iOS-Gäste automatisch den Captive Portal-Mini-Browser sehen, sobald sie sich mit dem Gäste-WiFi verbinden, ohne manuell einen Browser öffnen zu müssen. Wie konfigurieren Sie den Walled Garden, um dies zu erreichen?

Hinweis: Überlegen Sie, wie iOS beim ersten Verbinden feststellt, ob ein Netzwerk über einen Internetzugang verfügt.

Musterlösung anzeigen

Sie müssen captive.apple.com aus dem Walled Garden ausschließen. Wenn sich ein iOS-Gerät mit einem Netzwerk verbindet, prüft es captive.apple.com. Wenn die Prüfung eine '200 OK'-Antwort erhält (was bedeutet, dass die Domain erreichbar ist), nimmt iOS an, dass das Netzwerk über einen Internetzugang verfügt, und löst den Captive Network Assistant (CNA) Mini-Browser nicht aus. Wenn die Prüfung blockiert oder umgeleitet wird, erkennt iOS das Netzwerk als Captive Portal und öffnet automatisch den CNA. Indem Sie captive.apple.com außerhalb des Walled Garden halten, wird die Prüfung abgefangen und umgeleitet, was den CNA automatisch auslöst.

Q3. Ein Mitarbeiter verbindet sich mit seinen Anmeldedaten mit der 802.1X-SSID. Die Authentifizierungsprotokolle von Purple zeigen eine erfolgreiche Access-Accept-Antwort mit den korrekten VLAN 20-Attributen. Der Mitarbeiter wird jedoch dem VLAN 1 (Standard) zugewiesen. Welche Einstellung im GWN Manager muss überprüft werden?

Hinweis: Der RADIUS-Server autorisiert den Benutzer korrekt und gibt die VLAN-Attribute zurück. Das Problem liegt auf der Seite des Access Points.

Musterlösung anzeigen

Das Kontrollkästchen 'Enable Dynamic VLAN' in den SSID-Einstellungen im GWN Manager ist nicht aktiviert. Selbst wenn Purple die korrekten Attribute für Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID im Access-Accept-Paket zurückgibt, ignoriert der GWN Access Point diese, es sei denn, Dynamic VLAN ist explizit aktiviert. Navigieren Sie zur SSID-Konfiguration, suchen Sie die Einstellung für Dynamic VLAN, aktivieren Sie diese und speichern Sie. Der Mitarbeiter sollte dann bei der nächsten Verbindung dem korrekten VLAN zugewiesen werden.

Q4. Ein Build-to-Rent-Betreiber möchte PPSK mit Purple als RADIUS-Backend auf seinen Grandstream GWN7630 Access Points mit der Firmware-Version 1.0.17 bereitstellen. Ein Mieter meldet, dass er sich mit der SSID verbinden kann, aber dem falschen VLAN zugewiesen wird. Was sollten Sie zuerst prüfen?

Hinweis: Hier gibt es zwei potenzielle Ursachen: Eine betrifft die Firmware-Version, die andere die Konfiguration.

Musterlösung anzeigen

Als Erstes sollte die Firmware-Version überprüft werden. PPSK mit RADIUS-Backend erfordert auf der GWN76xx-Serie die GWN-Firmware 1.0.19 oder höher. Die Firmware 1.0.17 unterstützt die RADIUS-gestützte PPSK-VLAN-Zuweisung möglicherweise nicht korrekt. Aktualisieren Sie die Firmware auf 1.0.19 oder höher, bevor Sie mit der weiteren Fehlerbehebung fortfahren. Wenn die Firmware korrekt ist, stellen Sie sicher, dass das PPSK-RADIUS-Backend in den SSID-Einstellungen aktiviert ist, das Shared Secret mit der Konfiguration von Purple übereinstimmt und das RADIUS-Benutzerprofil von Purple für den spezifischen PSK das korrekte Attribut Tunnel-Private-Group-ID zurückgibt.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt Schritt für Schritt die Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Captive Portal für Guest WiFi über Central Web Authentication, sicheres Mitarbeiter-WiFi mit 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung mithilfe von Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Unternehmensnetzwerkarchitekten und IT-Sicherheitsdirektoren, die Cisco-Infrastrukturen in der Hotellerie, im Einzelhandel und an großen öffentlichen Veranstaltungsorten bereitstellen.