Grandstream GWN and guest WiFi: captive portal setup with Purple

Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem Bereitstellungsmuster, das in der Hotellerie, im Einzelhandel und in Multi-Tenant-Immobilien immer häufiger vorkommt: der Integration von Grandstream GWN Access Points in die Guest WiFi Plattform von Purple. Wenn Sie ein MSP, ein internes IT-Team oder ein Netzwerkarchitekt sind, der eine Grandstream GWN-Bereitstellung erhalten hat und aufgefordert wurde, ein gebrandetes Captive Portal mit Analysen hinzuzufügen, ist diese Episode genau das Richtige für Sie. Wir decken den gesamten Stack ab: Umleitung der Guest Splash Page, Walled Garden-Konfiguration, sicheres Mitarbeiter-WiFi über 802.1X und Multi-Tenant-Segmentierung mit der Private Pre-Shared Key-Funktion von Grandstream. Lassen Sie uns direkt einsteigen. - Zuerst ein wenig Kontext. Die GWN-Serie von Grandstream ist eine solide Access-Point-Reihe für den Mittelstand. Sie haben den GWN7600 und GWN7630 für Innenräume, den GWN7660 und GWN7664 für Wi-Fi 6-Umgebungen und den GWN7610 als Deckenmontage-Option für Bereiche mit höherer Dichte. Sie werden entweder über den GWN Manager verwaltet - einen On-Premise-Controller, den Sie auf einem Linux- oder Windows-Server installieren - oder über GWN dot Cloud, die Cloud-basierte Management-Plattform von Grandstream, die jetzt unter dem Namen GDMS Networking läuft. Die gute Nachricht für MSPs ist, dass beide Management-Plattformen die Konfiguration von Captive Portals nativ unterstützen. Sie können die Portal-Richtlinie erstellen, die Splash Page anpassen und sie vollständig innerhalb des GWN Managers oder von GWN dot Cloud einer SSID zuweisen. Für Enterprise-Bereitstellungen, bei denen Sie eine GDPR-konforme Datenerfassung, Marketing-Automatisierung und Echtzeit-Analysen benötigen, werden Sie dieses native Portal jedoch durch eine externe Plattform ersetzen. Und genau hier kommt Purple ins Spiel. Purple funktioniert als Cloud-Overlay. Es liegt über Ihrer Hardware und stellt das Captive Portal, die RADIUS-Authentifizierungsebene, die Engine für Analysen und die Marketing-Tools bereit. Purple unterstützt 80.000 Live-Standorte und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Die Plattform hat sich also im großen Stil bewährt. Die Integration mit Grandstream GWN folgt demselben standardbasierten Ansatz, den Purple auch bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi einsetzt. - Kommen wir zur technischen Architektur. Der Guest WiFi-Ablauf auf Grandstream GWN mit Purple funktioniert wie folgt. Ein Gast verbindet sich mit Ihrer Guest SSID. Sein Gerät sendet eine HTTP-Anfrage an eine beliebige Website. Der GWN Access Point fängt diese Anfrage ab und gibt einen HTTP 302-Redirect an die Purple-Portal-URL aus. Der Gast landet auf Ihrer gebrandeten Splash Page, die von Purple gehostet wird. Er authentifiziert sich, sei es per E-Mail, Social Login, SMS-Verifizierung oder über ein benutzerdefiniertes Formular. Die Plattform von Purple validiert diese Authentifizierung, erfasst die Einwilligung und die Daten gemäß GDPR und sendet dann ein RADIUS Access-Accept zurück an den GWN Access Point. Der AP gewährt den Internetzugang. Der gesamte Ablauf dauert von der Verbindung bis zum Internetzugang etwa drei bis fünf Sekunden.Die wichtigsten Konfigurationskomponenten auf der Grandstream-Seite sind: die Captive Portal-Richtlinie, die Splash-Page-Einstellungen, der Walled Garden und die SSID-Zuordnung. Lassen Sie uns die einzelnen Schritte durchgehen. --- Schritt eins: Konfigurieren Sie die Captive Portal-Richtlinie im GWN Manager oder in GWN.cloud. Navigieren Sie zu Captive Portal, dann Policy List, und erstellen Sie eine neue Richtlinie. Vergeben Sie einen aussagekräftigen Namen, wie zum Beispiel "Purple-Guest-Portal". Stellen Sie den Authentication Type auf RADIUS Server ein. Daraufhin werden Felder für die RADIUS Server Address, den RADIUS Server Port und das RADIUS Server Secret angezeigt. Geben Sie die IP-Adresse des RADIUS-Servers von Purple und den Port 1812 für die Authentifizierung ein. Ihr Shared Secret finden Sie in der Admin-Konsole des Purple-Portals im Bereich für die Hardwarekonfiguration des Standorts. Stellen Sie die RADIUS Authentication Method auf PAP ein, da der Captive Portal-Flow von Purple dieses Verfahren nutzt. Unter Landing Page wählen Sie Redirect to External Page und geben die Redirect-URL Ihres Purple-Portals ein. Dies ist die URL, an die Gäste beim ersten Verbinden weitergeleitet werden. Auch diese URL finden Sie in Ihrer Purple-Admin-Konsole. Stellen Sie die Expiration-Zeit so ein, dass sie der Sitzungsrichtlinie Ihres Standorts entspricht. Für ein Hotel sind 24 Stunden typisch. Für ein Konferenzzentrum können Sie dies auf die Dauer der Veranstaltung festlegen. Für den Einzelhandel sind zwei bis vier Stunden üblich. Aktivieren Sie den Failsafe-Modus. Das ist wichtig. Wenn der GWN Access Point den RADIUS-Server von Purple nicht erreichen kann, gewährt der Failsafe-Modus dennoch Internetzugang, anstatt alle Gäste zu blockieren. Bei den meisten Implementierungen im Gastgewerbe und im Einzelhandel sollte ein kurzer RADIUS-Ausfall nicht dazu führen, dass alle Gäste die Verbindung verlieren. --- Schritt zwei: Konfigurieren Sie den Walled Garden. Der Walled Garden ist die Liste der Domains und IP-Adressen, auf die Gäste zugreifen können, bevor sie sich über das Portal authentifiziert haben. Wenn Sie hier einen Fehler machen, sehen die Gäste eine leere Seite oder ein fehlerhaftes Portal und machen das WiFi dafür verantwortlich. Im GWN Manager wird der Walled Garden unter der Captive Portal-Richtlinie als Pre-Authentication Rules konfiguriert. Fügen Sie die folgenden Domains als Erlaubnisregeln hinzu: die Purple-Portal-Domain (portal.purple.ai), alle CDN-Domains, von denen die Splash Page von Purple Inhalte lädt (einschließlich cloudfront.net unter Verwendung eines Platzhalters), Apples Endpunkt zur Erkennung von Captive Portals (captive.apple.com) und Googles Endpunkt zur Konnektivitätsprüfung (connectivitycheck.gstatic.com). Das Support-Portal von Purple bietet unter support.purple.ai einen dynamischen Walled Garden-Generator. Wählen Sie Grandstream aus der Hardwareliste, wählen Sie Ihre Authentifizierungsmethoden und es wird genau die Domainliste generiert, die Sie benötigen. Verwenden Sie diese Liste. Versuchen Sie nicht, sie manuell von Grund auf neu zu erstellen. Eine Entscheidung müssen Sie treffen: Nehmen Sie captive dot apple dot com in den Walled Garden auf oder nicht? Wenn Sie es aufnehmen, zeigen iOS-Geräte den Captive Network Assistant Mini-Browser nicht automatisch an. Gäste müssen dann manuell einen Browser öffnen, um das Portal aufzurufen. Wenn Sie es ausschließen, öffnet iOS den Mini-Browser automatisch, sobald sich das Gerät verbindet. Für die meisten Umgebungen im Gastgewerbe ist es gewünscht, dass der Mini-Browser erscheint, daher sollten Sie captive dot apple dot com nicht in den Walled Garden aufnehmen. --- Schritt drei: Konfigurieren Sie die SSID. Navigieren Sie im GWN Manager zu SSID und bearbeiten Sie Ihre Gäste-SSID. Aktivieren Sie das Captive Portal und wählen Sie die soeben erstellte Richtlinie aus. Stellen Sie die SSID auf WPA2-Personal mit einem einfachen, offenen Passwort ein, oder konfigurieren Sie sie als offene SSID, falls Ihr Standort diesen Ansatz bevorzugt. Die Sicherheit bei diesem Ablauf ergibt sich aus der Portal-Authentifizierung, nicht aus dem WiFi-Passwort. Aktivieren Sie die Client Isolation. Dies verhindert, dass Gäste die Geräte der anderen im Netzwerk sehen können. Dies ist eine grundlegende Sicherheitsanforderung und ein wichtiger Faktor für PCI-DSS, falls Ihr Standort Kartenzahlungen über dieselbe Infrastruktur abwickelt. Weisen Sie die SSID Ihrem Gäste-VLAN zu. VLAN 10 ist eine gängige Konvention für den Datenverkehr von Gästen. Stellen Sie sicher, dass Ihr Upstream-Switch und Ihr Router so konfiguriert sind, dass sie dieses VLAN mit den entsprechenden Firewall-Regeln ins Internet leiten. --- Sprechen wir nun über das Mitarbeiter-WiFi unter Verwendung von 802.1X. IEEE 802.1X ist der Standard für die portbasierte Netzwerkzugriffskontrolle. Für das Mitarbeiter-WiFi ersetzt es den gemeinsam genutzten Pre-Shared Key durch benutzerbezogene Anmeldedaten, die mit einem Identity Provider abgeglichen werden. Wenn sich ein Mitarbeiter verbindet, fungiert der GWN Access Point als Authentifikator, sein Gerät als Supplikant und der RADIUS-Server von Purple als Authentifizierungsserver. Erstellen Sie im GWN Manager eine separate SSID für Mitarbeiter. Stellen Sie den Sicherheitsmodus auf WPA2-Enterprise ein, wodurch 802.1X aktiviert wird. Konfigurieren Sie die RADIUS-Server-Einstellungen mit der RADIUS-IP von Purple, Port 1812 und Ihrem Shared Secret. Aktivieren Sie RADIUS Accounting auf Port 1813, damit Sie ein vollständiges Audit-Protokoll darüber erhalten, wer sich wann und wie lange verbunden hat. Dieses Audit-Protokoll wird für die DSGVO-Compliance und für die Reaktion auf Sicherheitsvorfälle benötigt. Für die EAP-Methode haben Sie zwei Hauptoptionen. EAP-TLS verwendet digitale Zertifikate sowohl auf dem Server als auch auf dem Client-Gerät. Dies ist die sicherste Option, erfordert jedoch eine Mobile Device Management-Plattform, um die Zertifikate auf die Geräte der Mitarbeiter zu verteilen. Wenn Sie Microsoft Intune oder Jamf nutzen, ist EAP-TLS die richtige Wahl. PEAP, was für Protected EAP steht, verwendet einen Benutzernamen und ein Passwort innerhalb eines verschlüsselten TLS-Tunnels. Es ist einfacher bereitzustellen, insbesondere in BYOD-Umgebungen, aber Sie müssen sicherstellen, dass die Mitarbeiter geschult sind, Zertifikatswarnungen nicht einfach zu akzeptieren. Ein schädlicher Access Point kann PEAP-Anmeldedaten abfangen, wenn Benutzer sich einfach durch Zertifikatsfehler hindurchklicken. Aktivieren Sie die dynamische VLAN-Zuweisung in den SSID-Einstellungen. Wenn diese aktiviert ist, kann der RADIUS-Server eine VLAN-ID im Access-Accept-Paket zurückgeben, und der GWN AP ordnet das verbindende Gerät diesem VLAN zu. Das bedeutet, dass Sie eine einzige Mitarbeiter-SSID haben können, aber IT-Mitarbeiter automatisch dem VLAN 20, das Management dem VLAN 21 und Point-of-Sale-Geräte dem VLAN 40 zugewiesen werden - alles basierend auf der Identität des Benutzers im Verzeichnis von Purple. Die RADIUS-Attribute für dynamisches VLAN sind: Tunnel-Type eingestellt auf VLAN (Attributwert 13), Tunnel-Medium-Type eingestellt auf IEEE-802 (Attributwert 6) und Tunnel-Private-Group-ID eingestellt auf die VLAN-Nummer als String. Diese drei Attribute im Access-Accept-Paket sind alles, was der GWN AP benötigt, um das Gerät an das richtige VLAN weiterzuleiten. - - - Nun zu der Funktion, die besonders für mandantenfähige Objekte relevant ist: Grandstream Private Pre-Shared Keys, oder PPSK. PPSK ist ein Mechanismus, der es einer einzigen SSID ermöglicht, mehrere eindeutige Passwörter zu unterstützen, die jeweils einem anderen VLAN oder einer anderen Netzwerkrichtlinie zugeordnet sind. Denken Sie an ein Build-to-Rent-Apartmentgebäude, einen Co-Working-Space oder ein Bürogebäude mit Service. Sie möchten, dass eine SSID für alle sichtbar ist, aber jeder Mieter erhält sein eigenes Passwort, das ihn in sein eigenes isoliertes Netzwerksegment einordnet. Im GWN Manager wird PPSK unter den SSID-Einstellungen konfiguriert. Stellen Sie den Security Mode auf WPA2-Personal ein und aktivieren Sie dann PPSK. Sie können dann einzelne PSK-Einträge erstellen, jeweils mit einem eindeutigen Passwort und einer zugehörigen VLAN-ID. Wenn sich ein Gerät mit dem Passwort von Mieter A verbindet, ordnet der AP es dem VLAN 31 zu. Wenn ein Gerät das Passwort von Mieter B verwendet, landet es im VLAN 32. Die Mieter nutzen dieselbe SSID, sind aber auf der Netzwerkesbene vollständig voneinander isoliert. Für größere Bereitstellungen unterstützt Grandstream auch PPSK mit RADIUS-Backend. In diesem Modus sendet der AP den PSK als RADIUS-Attribut an den Authentifizierungsserver, der ihn validiert und die entsprechende VLAN-Zuweisung zurückgibt. Hier lässt sich die Identity-Based Networks-Funktion von Purple direkt integrieren. Purple kann die PPSK-Datenbank verwalten, Schlüssel mit seinem Verzeichnis abgleichen und dynamische VLAN-Zuweisungen zurückgeben, wodurch Sie die zentrale Verwaltung von Hunderten von Mieter-Anmeldedaten über eine einzige Plattform erhalten. Das für die PPSK-Validierung verwendete RADIUS-Attribut ist in der Regel das Tunnel-Password-Attribut oder ein herstellerspezifisches Attribut, je nach Firmware-Version. Überprüfen Sie die Versionshinweise von Grandstream für Ihre spezifische Firmware, da sich die Attributzuordnung in den verschiedenen Versionen des GWN Managers weiterentwickelt hat. - - - Lassen Sie mich die beiden häufigsten Fehlermuster beschreiben, die ich bei Grandstream-Bereitstellungen mit externen Portalen sehe. Das erste Problem ist, dass die Weiterleitung nicht ausgelöst wird. Ein Gast verbindet sich mit der SSID, öffnet einen Browser und erhält die Fehlermeldung "Seite kann nicht erreicht werden" anstelle der Captive Portal-Seite. Die wahrscheinlichste Ursache ist eine Fehlkonfiguration des Walled Garden. Die Portal-Seite selbst wird vor der Authentifizierung blockiert. Öffnen Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gäste-SSID verbunden ist, prüfen Sie die Registerkarte "Netzwerk" und identifizieren Sie, welche Anfragen fehlschlagen. Fügen Sie diese Domänen zu Ihren Pre-Authentication-Regeln hinzu. Das zweite Fehlerszenario ist ein RADIUS-Timeout. Der AP sendet einen Access-Request an den RADIUS-Server von Purple und erhält keine Antwort. Dies bedeutet in der Regel, dass eine Firewall den ausgehenden UDP-Port 1812 vom Management-VLAN des APs zum RADIUS-IP-Bereich von Purple blockiert. Überprüfen Sie Ihre Firewall-Regeln. Die RADIUS-IP-Adressen von Purple sind in der Purple Admin-Konsole unter den Standorteinstellungen dokumentiert. Stellen Sie sicher, dass sowohl die primären als auch die sekundären RADIUS-IPs zugelassen sind. Ein drittes erwähnenswertes Problem: Dynamisches VLAN funktioniert nicht. Mitarbeiter verbinden sich und landen im falschen VLAN. Die häufigste Ursache ist, dass "Dynamisches VLAN aktivieren" in den SSID-Einstellungen im GWN-Manager nicht aktiviert ist. Es ist ein einzelnes Kontrollkästchen, das man leicht übersieht. Die zweite Ursache ist eine Diskrepanz beim Shared Secret. Wenn das Shared Secret auf dem AP nicht mit dem in Purple konfigurierten übereinstimmt, verwirft der AP die RADIUS-Antwort lautlos und fällt auf das Standard-VLAN zurück. - Lassen Sie mich Ihnen zwei Praxisbeispiele geben, um dies zu veranschaulichen. Szenario eins: ein Hotel mit 120 Zimmern. Das Hotel nutzt GWN7660 Access Points, die über GWN.Cloud verwaltet werden. Benötigt werden ein gebrandetes Captive Portal für Gäste, ein sicheres Mitarbeiternetzwerk für die Rezeption und das Housekeeping sowie ein separates Management-VLAN für das Property Management System. Die Konfiguration verwendet drei SSIDs: Gäste-WiFi auf VLAN 10 mit der Captive Portal-Richtlinie von Purple; Mitarbeiter-WiFi auf VLAN 20 mit WPA2-Enterprise und PEAP-Authentifizierung gegenüber dem RADIUS von Purple; und eine versteckte Management-SSID auf VLAN 30 für PMS-Terminals. Die dynamische VLAN-Zuweisung auf der Mitarbeiter-SSID sorgt dafür, dass Housekeeping-Geräte auf VLAN 21 mit eingeschränktem Internetzugang landen, während Geräte an der Rezeption auf VLAN 20 mit vollem Zugriff landen. Das Analytics-Dashboard von Purple zeigt dem Hotelbetreiber die täglichen Gästezahlen, die Sitzungsdauer und die Opt-in-Raten für das Marketing, wodurch das Marketingteam die für zielgerichtete Kampagnen erforderlichen Daten erhält. Szenario zwei: ein Apartmentblock mit 40 Mieteinheiten. Der Betreiber nutzt GWN7630 Access Points mit GWN Manager on-premises. Jedes Apartment benötigt sein eigenes isoliertes Netzwerk. Der Betreiber nutzt PPSK mit RADIUS-Backend. Purple verwaltet 40 eindeutige Zugangsdaten für Mieter, die jeweils einem dedizierten VLAN zugeordnet sind. Die Bewohner verbinden sich mit dem SSID-Passwort ihrer Einheit mit der einzigen SSID "BuildingConnect". Das Portal von Purple übernimmt den ersten Onboarding-Prozess, erfasst die Zustimmung der Bewohner und liefert dem Betreiber Auslastungsanalysen und Engagement-Daten. Wenn ein Bewohner auszieht, entzieht der Betreiber dessen PPSK-Zugangsdaten in der Admin-Konsole von Purple, und der Zugang wird sofort beendet. Das SSID-Passwort muss nicht geändert und die APs müssen nicht neu konfiguriert werden. - - - Schnellfeuer. Drei Fragen, die mir bei Grandstream-Implementierungen ständig gestellt werden. Frage eins: Kann ich GWN dot Cloud anstelle von GWN Manager für die Purple-Integration verwenden? Ja. Die Konfiguration des Captive Portal in GWN dot Cloud ist funktionell identisch mit dem GWN Manager. Die Menüpfade sind dieselben. Die RADIUS- und Walled-Garden-Einstellungen befinden sich an denselben Stellen. GWN dot Cloud ist die bessere Wahl für MSPs, die mehrere Standorte verwalten, da Sie eine zentrale Oberfläche für alle Implementierungen erhalten. Frage zwei: Unterstützt Purple die nativen Analysen von Grandstream neben den eigenen? Purple ersetzt die nativen Analysen des Captive Portal durch eigene, detailliertere Daten. Sie erhalten Sitzungszahlen, Verweilzeiten, Opt-in-Raten, demografische Daten aus Formularfeldern und eine Integration mit Marketing-Plattformen. Die nativen GWN-Analysen für RF-Leistung, AP-Zustand und Client-Zahlen bleiben im GWN Manager oder GWN dot Cloud neben den Portal-Analysen von Purple verfügbar. Frage drei: Welche Firmware-Version benötige ich auf den GWN APs für PPSK mit RADIUS? PPSK mit RADIUS-Backend erfordert die GWN-Firmware 1.0.19 oder höher auf der GWN76xx-Serie. Überprüfen Sie vor der Bereitstellung die Versionshinweise von Grandstream. Die Verwendung veralteter Firmware ist die häufigste Ursache für unerwartetes Verhalten bei PPSK-Implementierungen. - - - Fazit. Die Integration von Grandstream GWN Access Points mit Purple ist eine unkomplizierte Implementierung, wenn Sie die richtige Reihenfolge einhalten. Konfigurieren Sie zuerst Ihre RADIUS-Servereinstellungen in den Richtlinien für das Captive Portal. Erstellen Sie Ihren Walled Garden mit dem Domain-Generator-Tool von Purple. Verknüpfen Sie die Richtlinie mit Ihrer Gäste-SSID und aktivieren Sie die Client-Isolierung. Aktivieren Sie für das Mitarbeiter-WiFi WPA2-Enterprise mit dynamischer VLAN-Zuweisung. Verwenden Sie für Multi-Tenant-Objekte PPSK mit RADIUS-Backend und verwalten Sie die Zugangsdaten zentral über Purple. Die fünf Dinge, auf die es ankommt: RADIUS auf UDP 1812 mit einem passenden Shared Secret; der Walled Garden, der alle Portal-Asset-Domains abdeckt; aktivierte Client-Isolierung auf der Gäste-SSID; aktiviertes dynamisches VLAN in den SSID-Einstellungen; und eine PPSK-Firmware der Version 1.0.19 oder höher.Wenn Sie diese fünf Punkte richtig umsetzen, verfügen Sie über eine solide, skalierbare Bereitstellung, die Ihrem Standort über Jahre hinweg gute Dienste leisten wird. Das Onboarding-Team von Purple kann Ihre Konfiguration vor dem Go-live validieren, und die 99,999-prozentige Verfügbarkeit der Plattform bedeutet, dass Sie Hotelgästen um zwei Uhr morgens keine Portal-Ausfälle erklären müssen. Vielen Dank fürs Zuhören. Für weitere technische Anleitungen zu Enterprise-WiFi-Integrationen besuchen Sie purple dot ai. In der nächsten Folge behandeln wir die dynamische VLAN-Zuweisung mit Microsoft Entra ID und dem SecurePass-Feature von Purple. Bis dahin.