Zum Hauptinhalt springen
Deutsch

MikroTik RouterOS Captive Portal und Purple WiFi Integrationshandbuch

Dieser technische Leitfaden bietet Schritt-für-Schritt-Anleitungen für die Integration von MikroTik RouterOS mit der WiFi-Plattform von Purple. Er behandelt die Konfiguration des Guest WiFi Captive Portal, die Staff WiFi 802.1X-Authentifizierung und Multi-Tenant WiFi unter Verwendung von Private PSKs für die dynamische VLAN-Segmentierung.

📖 4 Min. Lesezeit📝 872 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
MikroTik RouterOS Captive Portal und Purple WiFi Integrationshandbuch - Podcast-Skript [INTRO - ca. 1 Minute] Willkommen. Wenn Sie die WiFi-Infrastruktur in einem Hotel, einer Einzelhandelskette, einem Stadion oder einem Konferenzzentrum verwalten und MikroTik RouterOS einsetzen, ist diese Episode genau das Richtige für Sie. Ich werde Sie genau durch die Integration des Hotspot Gateways von MikroTik in die Guest WiFi-Plattform von Purple führen. Dabei behandeln wir drei verschiedene Anwendungsfälle: Guest WiFi mit einem Captive Portal und Walled Garden, sicheres Staff WiFi mittels 802.1X und die Netzwerksegmentierung für mehrere Mandanten (Multi-Tenant) mithilfe der Private Pre-Shared Key-Funktion von MikroTik. Dies ist kein theoretischer Überblick. Am Ende dieser Folge verfügen Sie über die spezifischen CLI-Befehle, RADIUS-Attribute und die Konfigurationslogik, die Sie benötigen, um diese Setups selbst bereitzustellen oder zu überprüfen. Legen wir los. [TECHNISCHER DEEP-DIVE - ca. 5 Minuten] Teil eins: Guest WiFi und das MikroTik Captive Portal. Das Hotspot Gateway von MikroTik ist das Herzstück der Guest WiFi-Umleitung unter RouterOS. Wenn sich ein Besucher mit Ihrer Guest-SSID verbindet, fängt das Hotspot Gateway seinen HTTP-Datenverkehr ab und leitet ihn auf eine Begrüßungsseite um – das ist Ihr Captive Portal. Purple hostet diese Begrüßungsseite. Ihr MikroTik-Router fungiert als Hotspot Gateway und RADIUS-Client. Die Plattform von Purple fungiert als RADIUS-Server. So richten Sie es ein: Führen Sie zuerst den Hotspot-Setup-Assistenten über das IP-Menü in Winbox oder über die CLI aus. Sie weisen ihn Ihrer dem Gast zugewandten Schnittstelle zu – in der Regel einer VLAN-Schnittstelle oder einem Bridge-Port. Legen Sie Ihren lokalen Adresspool fest, konfigurieren Sie Ihre DNS-Server und geben Sie dem Hotspot einen DNS-Namen. Diesen DNS-Namen sehen die Gäste in ihrem Browser, bevor sie sich authentifizieren. Sobald der Assistent abgeschlossen ist, müssen Sie das Hotspot-Profil auf den RADIUS-Server von Purple verweisen lassen. In der CLI sieht das so aus: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Aktivieren Sie dann RADIUS im Hotspot-Profil: /ip hotspot profile set default use-radius=yes Purple stellt Ihnen die RADIUS-IP-Adresse, das Shared Secret und die URL der Begrüßungsseite zur Verfügung, wenn Sie Ihren Standort im Purple-Dashboard einrichten. Nun zum Walled Garden. Das ist entscheidend. Bevor sich ein Gast authentifiziert, muss sein Gerät in der Lage sein, die Begrüßungsseite von Purple und alle von Ihnen verwendeten OAuth-Anbieter – wie Google, Facebook usw. – zu erreichen. Ohne Walled-Garden-Einträge wird die Umleitungsschleife unterbrochen und die Gäste können sich nicht anmelden. In RouterOS fügen Sie Walled-Garden-Einträge unter IP, Hotspot, Walled Garden hinzu. Sie müssen die Domäne der Purple-Begrüßungsseite, alle Social-Login-Domänen und alle CDN-Hosts hinzufügen, die die Ressourcen der Anmeldeseite bereitstellen. Die Dokumentation von Purple listet die genauen Domänen für Ihre Region auf. Fügen Sie sie als IP-Einträge oder Hostnamen-Einträge hinzu – Hostnamen-Einträge sind widerstandsfähiger, wenn sich IP-Adressen ändern. Zu den wichtigsten RADIUS-Attributen, die Purple bei einer erfolgreichen Authentifizierung zurückgibt, gehören das Session-Timeout, das steuert, wie lange ein Gast verbunden bleibt, bevor er erneut aufgefordert wird, und optional ein Bandbreitenlimit unter Verwendung des herstellerspezifischen Attributs `Mikrotik-Rate-Limit`. Auf diese Weise können Sie Fair-Use-Richtlinien pro Gastsitzung direkt über das Purple-Dashboard durchsetzen, ohne die Router-Konfiguration anfassen zu müssen. Teil zwei: Sicheres Staff WiFi mit 802.1X. Hier verabschieden Sie sich vollständig von gemeinsam genutzten Passwörtern. IEEE 802.1X is der Standard für die portbasierte Netzwerkzugriffskontrolle. Auf einer MikroTik-Wireless-Schnittstelle aktivieren Sie die WPA2-Enterprise- oder WPA3-Enterprise-Authentifizierung. Das bedeutet, dass der Access-Point zum Authentifikator wird – er leitet die EAP-Anmeldedaten vom Mitarbeitergerät an einen RADIUS-Server weiter, der sie validiert und ein Access-Accept oder Access-Reject zurückgibt. Das Staff WiFi-Produkt von Purple lässt sich mit Microsoft Entra ID, Okta und Google Workspace als Identitätsanbieter integrieren. Wenn sich das Gerät eines Mitarbeiters verbindet, präsentiert es ein Zertifikat oder einen Benutzernamen und ein Passwort über PEAP-MSCHAPv2. Der RADIUS-Server von Purple validiert diese Anmeldedaten in Echtzeit mit Ihrem Identitätsanbieter. Auf der MikroTik-Seite konfigurieren Sie das Wireless-Sicherheitsprofil mit `authentication-types=wpa2-eap` und verweisen den RADIUS-Client mit `service=wireless` auf den Server von Purple. In CAPsMAN – dem zentralen Access-Point-Verwaltungssystem von MikroTik – stellen Sie dies auf der Ebene der Sicherheitskonfiguration ein, sodass es konsistent auf alle Ihre verwalteten Access-Points angewendet wird. Der RADIUS-Server kann das Attribut `Mikrotik-Wireless-VLANID` zurückgeben, um authentifizierte Mitarbeiter in ein bestimmtes VLAN zu verschieben. So setzen Sie die Netzwerksegmentierung durch – die Finanzabteilung landet im VLAN 10, der Betrieb im VLAN 20 usw. – alles über eine einzige SSID, alles gesteuert durch Identität. Für den automatischen Widerruf – wenn ein Mitarbeiter das Unternehmen verlässt – sorgt die Integration von Purple mit Ihrem Identitätsanbieter dafür, dass bei der Deaktivierung des Kontos in Entra ID oder Okta der nächste Re-Authentifizierungsversuch fehlschlägt und das Gerät getrennt wird. Es sind keine manuellen Änderungen an der Router-Konfiguration erforderlich. Teil drei: Multi-Tenant WiFi mit Private Pre-Shared Keys. Dies ist architektonisch der interessanteste der drei Fälle. Private PSK – manchmal auch PPSK oder iPSK genannt – ermöglicht es Ihnen, eine einzige SSID zu betreiben, bei der sich jeder Mandant, Bewohner oder jede Gerätegruppe mit einer eindeutigen Passphrase verbindet und jede Passphrase einem anderen VLAN zugeordnet ist. Auf MikroTik funktioniert dies über eine MAC-basierte RADIUS-Authentifizierung an der Wireless-Schnittstelle. Wenn sich ein Gerät verbindet, sendet der Access-Point die MAC-Adresse des Geräts als Benutzernamen an den RADIUS-Server. Der RADIUS-Server – entweder der MikroTik-eigene User Manager in RouterOS 7 oder FreeRADIUS – sucht nach dieser MAC-Adresse und gibt zwei herstellerspezifische Attribute zurück: `Mikrotik-Wireless-Psk`, die gerätespezifische Passphrase, und `Mikrotik-Wireless-VLANID`, die das Gerät in das richtige VLAN einordnet. Das Wireless-Sicherheitsprofil erfordert, dass `radius-mac-authentication` auf `yes` gesetzt ist, und der RADIUS-Client benötigt `service=wireless`. In der Praxis würden Sie bei einer Mietimmobilie (Build-to-Rent) mit 200 Wohnungen die MAC-Adressen der Geräte jedes Bewohners bei dessen Einzug in der Plattform von Purple vorregistrieren. Purple ordnet jede MAC einem eindeutigen PSK und einem VLAN zu, das dem Netzwerksegment dieser Wohnung entspricht. Der Bewohner verbindet sich mit der Passphrase seiner Wohnung. Seine Geräte landen in einem isolierten VLAN. Die Geräte des Nachbarn befinden sich in einem völlig separaten VLAN. Keiner kann den Datenverkehr des anderen sehen. Für Geräte, die 802.1X nicht unterstützen – Smart-TVs, Spielekonsolen, IoT-Geräte –, ist dieser Ansatz die praktische Alternative. Das Gerät muss lediglich WPA2-PSK unterstützen, was auf praktisch alle zutrifft. [EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND FALLSTRICKE - ca. 2 Minuten] Lassen Sie mich Ihnen die vier Dinge nennen, die bei diesen Bereitstellungen am häufigsten schiefgehen. Erstens: Lücken im Walled Garden. Wenn die Begrüßungsseite von Purple nicht geladen werden kann, überprüfen Sie Ihre Walled-Garden-Einträge. Der häufigste Grund ist eine fehlende CDN-Domäne oder eine Social-Login-Umleitung, die nicht auf der Whitelist steht. Verwenden Sie das MikroTik Torch-Tool oder den Packet Sniffer, um zu beobachten, welche DNS-Abfragen vor der Authentifizierung blockiert werden. Zweitens: Abweichende RADIUS-Timeouts. Das standardmäßige RADIUS-Timeout von MikroTik beträgt 1.100 Millisekunden. Wenn der RADIUS-Server von Purple geografisch weit entfernt ist oder der Netzwerkpfad Latenzen aufweist, kommt es zu sporadischen Authentifizierungsfehlern. Erhöhen Sie das Timeout auf 3.000 Millisekunden und konfigurieren Sie einen Backup-RADIUS-Server für zusätzliche Ausfallsicherheit. Drittens: Die VLAN-Filterung ist auf der Bridge nicht aktiviert. Die dynamische VLAN-Zuweisung über RADIUS funktioniert nur, wenn die Bridge-VLAN-Filterung aktiviert ist. Dies ist eine RouterOS-Anforderung. Wenn alle Clients unabhängig von der RADIUS-Rückgabe im Standard-VLAN landen, überprüfen Sie, ob `vlan-filtering=yes` auf Ihrer Bridge-Schnittstelle eingestellt ist. Viertens: CAPsMAN-Versionskonflikt. Wenn Sie eine Mischung aus verwalteten Access-Points der CAPsMAN-Version 2 und Version 3 betreiben, kann sich das VLAN-Tagging-Verhalten unterscheiden. Standardisieren Sie auf RouterOS 7 mit CAPsMAN Version 3 in Ihrer gesamten AP-Infrastruktur, bevor Sie dynamische VLAN-Funktionen bereitstellen. Eine architektonische Empfehlung: Betreiben Sie Ihren Gast-, Mitarbeiter- und Verwaltungsdatenverkehr vom ersten Tag an in separaten VLANs, selbst wenn Sie nicht sofort alle drei Purple-Anwendungsfälle nutzen. Die nachträgliche Implementierung einer VLAN-Segmentierung in ein flaches Netzwerk ist wesentlich aufwendiger, als sie von Anfang an einzuplanen. [SCHNELLE FRAGERUNDE - ca. 1 Minute] Kann ich den integrierten User Manager von MikroTik anstelle eines externen RADIUS-Servers verwenden? Ja, bei kleineren Bereitstellungen. Der User Manager in RouterOS 7 unterstützt PEAP-MSCHAPv2 für Wireless 802.1X und kann das Attribut `Mikrotik-Wireless-VLANID` zurückgeben. Für produktive Bereitstellungen mit Purple nutzen Sie die gehostete RADIUS-Infrastruktur von Purple, die die Integration des Identitätsanbieters und das Sitzungsmanagement für Sie übernimmt. Unterstützt Purple MikroTik CAPsMAN? Ja. Purple ist hardwareunabhängig. Die Integration erfolgt auf RADIUS- und Hotspot-Umleitungsebene, sodass sie gleichermaßen mit eigenständigen MikroTik-Access-Points und CAPsMAN-verwalteten Bereitstellungen kompatibel ist. Welche RouterOS-Version benötige ich? RouterOS 7.x wird für alle drei in diesem Handbuch behandelten Anwendungsfälle empfohlen. Die dynamische VLAN-Zuweisung über Wireless-RADIUS und der aktualisierte User Manager sind Funktionen von RouterOS 7. RouterOS 6.x unterstützt Hotspots und grundlegende RADIUS-Authentifizierung, bietet jedoch nicht alle Wireless-VLAN-Funktionen. [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - ca. 1 Minute] Zusammenfassend lässt sich sagen: MikroTik RouterOS bietet Ihnen drei verschiedene Integrationspunkte mit Purple. Das Hotspot Gateway übernimmt die Guest WiFi-Umleitung und die Captive Portal-Authentifizierung. Die Wireless-802.1X-Konfiguration mit RADIUS ermöglicht sicheres Staff WiFi mit identitätsbasiertem Zugriff. Und die MAC-basierte RADIUS-Authentifizierung mit Private PSK übernimmt die Netzwerksegmentierung für mehrere Mandanten in Wohn- und Mischimmobilien. Der gemeinsame Nenner aller drei ist RADIUS. Richten Sie Ihre RADIUS-Client-Konfiguration korrekt ein – richtige IP, richtiges Shared Secret, richtiger Diensttyp, richtiges Timeout – und der Rest ergibt sich von selbst. Ihre nächsten Schritte: Melden Sie sich in Ihrem Purple-Dashboard an, navigieren Sie zur Standortkonfiguration und rufen Sie Ihre RADIUS-Anmeldedaten ab. Folgen Sie dann den CLI-Befehlen im schriftlichen Handbuch, um Ihr Hotspot-Profil, Ihr Wireless-Sicherheitsprofil und Ihre Walled-Garden-Einträge zu konfigurieren. Testen Sie das Setup mit einem einzelnen Access-Point, bevor Sie es auf Ihre gesamte Infrastruktur ausrollen. Wenn Sie dieses Setup in großem Maßstab bereitstellen – an mehreren Standorten mit Hunderten von Access-Points –, kann das Professional Services-Team von Purple Sie beim Rollout unterstützen. Purple läuft an über 80.000 aktiven Standorten weltweit mit einer Betriebszeit von 99,999 % und ist nach ISO 27001, GDPR und Cyber Essentials zertifiziert. Vielen Dank fürs Zuhören. Das vollständige schriftliche Handbuch mit allen CLI-Befehlen, RADIUS-Attributtabellen und Praxisbeispielen ist in den Shownotes verlinkt.

header_image.png

Executive Summary

Die Integration von MikroTik RouterOS mit Purple schafft ein einheitliches, identitätsgesteuertes Netzwerk für Gäste-, Mitarbeiter- und Multi-Tenant-Umgebungen. Dieser Leitfaden liefert die spezifische Konfigurationslogik, die für die Bereitstellung des Cloud-Overlays von Purple auf MikroTik-Hardware erforderlich ist. Sie erfahren, wie Sie das RouterOS Hotspot Gateway für die Guest WiFi -Umleitung konfigurieren, IEEE 802.1X für sicheres Staff WiFi implementieren und Private Pre-Shared Keys (PPSK) zur Isolierung des Multi-Tenant-WiFi-Datenverkehrs bereitstellen.

Indem Sie diesen Bereitstellungsmodellen folgen, segmentieren Sie Ihr Netzwerk sicher und erfassen gleichzeitig First-Party-Daten für WiFi Analytics . Purple verarbeitete im Jahr 2024 440 Millionen Anmeldungen bei einer Betriebszeit von 99,999 %, wodurch sich diese Architektur hervorragend für Umgebungen mit hoher Dichte in den Bereichen Retail , Hospitality und Transport eignet.

Technischer Deep-Dive

Guest WiFi: Captive Portal und Walled Garden

Das MikroTik Hotspot Gateway fängt nicht authentifizierten HTTP-Datenverkehr ab und leitet ihn an das gehostete Captive Portal von Purple weiter. Purple fungiert als RADIUS-Server und übernimmt die Authentifizierung sowie das Sitzungsmanagement.

Um sicherzustellen, dass das Captive Portal korrekt geladen wird, müssen Sie einen Walled Garden konfigurieren. Dies ermöglicht vor der Authentifizierung den Zugriff auf die Domänen der Purple-Begrüßungsseite, Content Delivery Networks (CDNs) und OAuth-Anbieter (wie Google Workspace und Microsoft Entra ID). Ohne diese Einträge wird die Umleitungsschleife unterbrochen.

Nach erfolgreicher Authentifizierung gibt der RADIUS-Server von Purple Standardattribute zurück, darunter Session-Timeout zur Durchsetzung von Verbindungslimits und optional Mikrotik-Rate-Limit zur Durchsetzung von Bandbreitenbeschränkungen direkt über das Purple-Dashboard.

Staff WiFi: 802.1X-Authentifizierung

Für Staff WiFi eliminieren Sie gemeinsam genutzte Passwörtern durch die Bereitstellung von IEEE 802.1X. Der MikroTik-Access-Point fungiert als Authentifikator und leitet EAP-Anmeldedaten an den RADIUS-Server von Purple weiter. Purple lässt sich nativ in Microsoft Entra ID, Okta und Google Workspace integrieren und validiert Anmeldedaten über PEAP-MSCHAPv2 oder EAP-TLS.

Wenn sich ein Mitarbeiter verbindet, kann der RADIUS-Server von Purple das Attribut Mikrotik-Wireless-VLANID zurückgeben. Dies weist den MikroTik-Router an, das authentifizierte Gerät in ein bestimmtes VLAN zu verschieben, was eine rollenbasierte Netzwerksegmentierung über eine einzige SSID ermöglicht. Für einen umfassenderen Überblick über Sicherheitsstandards lesen Sie bitte Enterprise WiFi Security: A Complete Guide for 2026 .

Multi-Tenant WiFi: Private PSK (PPSK)

Multi-Tenant-Umgebungen erfordern eine sichere Isolation ohne die Komplexität von 802.1X, da viele Endgeräte (wie Smart-TVs und Spielekonsolen) dies nicht unterstützen. MikroTik unterstützt Private PSK (PPSK) über eine MAC-basierte RADIUS-Authentifizierung.

Wenn sich ein Gerät mit der SSID verbindet, sendet der MikroTik-Router die MAC-Adresse des Geräts an Purple. Purple gibt das Attribut Mikrotik-Wireless-Psk (die eindeutige Passphrase für diesen Mandanten) und das Attribut Mikrotik-Wireless-VLANID zurück. Diese Architektur ermöglicht es Hunderten von Mandanten, sich eine einzige SSID zu teilen, während sie in völlig isolierten Netzwerbumgebungen verbleiben.

architecture_overview.png

Implementierungsleitfaden

1. Konfiguration des RADIUS-Clients

Definieren Sie zunächst Purple als RADIUS-Server in RouterOS. Dies gilt für alle drei Anwendungsfälle.

/radius
add address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET service=hotspot,wireless authentication-port=1812 accounting-port=1813 timeout=3000ms

2. Guest WiFi Hotspot-Einrichtung

Führen Sie den Hotspot-Setup-Assistenten auf Ihrer Guest-VLAN-Schnittstelle aus und aktivieren Sie anschließend die RADIUS-Authentifizierung für das resultierende Profil.

/ip hotspot profile
set [ find default=yes ] use-radius=yes radius-accounting=yes

Konfigurieren Sie den Walled Garden, um den Zugriff auf die Infrastruktur von Purple zu ermöglichen.

/ip hotspot walled-garden
add action=allow dst-host=*purple.ai
add action=allow dst-host=*purpleportal.net

3. Staff WiFi 802.1X-Einrichtung

Konfigurieren Sie das Wireless-Sicherheitsprofil so, dass es WPA2-Enterprise verwendet, und verweisen Sie es auf den RADIUS-Server.

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=passthrough mode=dynamic-keys name=staff-8021x radius-mac-authentication=no

Stellen Sie sicher, dass die Bridge-VLAN-Filterung aktiviert ist, um die dynamische VLAN-Zuweisung zu unterstützen.

/interface bridge
set bridge1 vlan-filtering=yes

4. Multi-Tenant PPSK-Einrichtung

Aktivieren Sie für PPSK die MAC-Authentifizierung im Wireless-Sicherheitsprofil und konfigurieren Sie das MAC-Adressformat.

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=multi-tenant-ppsk radius-mac-authentication=yes radius-mac-format=XX:XX:XX:XX:XX:XX

ppsk_vlan_diagram.png

Best Practices

  • Standardisieren Sie auf RouterOS 7: Die dynamische VLAN-Zuweisung über Wireless-RADIUS ist in RouterOS 7 im Vergleich zu RouterOS 6 deutlich robuster.
  • RADIUS-Timeouts erhöhen: Das standardmäßige RADIUS-Timeout von MikroTik beträgt 1100 ms. Erhöhen Sie dieses auf 3000 ms, um sporadische Authentifizierungsfehler durch Netzwerklatenz zu vermeiden.
  • Hostnamen-Walled-Garden-Einträge verwenden: Verwenden Sie für Walled-Garden-Einträge immer dst-host anstelle von dst-address, da sich IP-Adressen von Cloud-Infrastrukturen änge häufig.
  • Bridge-VLAN-Filterung aktivieren: Die dynamische VLAN-Zuweisung über RADIUS (Mikrotik-Wireless-VLANID) erfordert vlan-filtering=yes auf der Bridge-Schnittstelle.

Fehlerbehebung & Risikominderung

Wenn das Captive Portal nicht geladen werden kann, ist der Walled Garden fast sicher unvollständig. Verwenden Sie das MikroTik Torch-Tool, um verworfene DNS-Anfragen von nicht authentifizierten Clients im Gäste-VLAN zu überwachen. Fügen Sie die fehlenden Domains dem Walled Garden hinzu.

Wenn die Authentifizierung von 802.1X-Clients fehlschlägt, überprüfen Sie das Shared Secret und stellen Sie sicher, dass der RADIUS-Client mit service=wireless konfiguriert ist. Überprüfen Sie die Protokolle im Purple-Dashboard, um zu bestätigen, ob die Access-Reject-Meldung von Purple oder Ihrem Identitätsanbieter stammt.

Wenn sich Clients authentifizieren, aber die falsche IP-Adresse erhalten, stellen Sie sicher, dass die Bridge-VLAN-Filterung aktiviert ist und der DHCP-Server korrekt an die dynamisch zugewiesene VLAN-Schnittstelle gebunden ist.

ROI & geschäftliche Auswirkungen

Die Bereitstellung von Purple in Ihrer MikroTik-Infrastruktur verwandelt eine Kostenstelle in eine Einnahmequelle. Durch die Erfassung von First-Party-Daten können Veranstaltungsorte detaillierte digitale Profile erstellen und Marketingkampagnen automatisieren. Beispielsweise erzielte Avanti West Coast eine Kapitalrendite (ROI) von 463 %, indem das Unternehmen von wiederkehrenden Reisenden und Upselling-Möglichkeiten profitierte.

Darüber hinaus reduziert identitätsbasiertes Networking den IT-Overhead. Die Automatisierung des Onboardings und Offboardings für das Mitarbeiter-WiFi über Entra ID macht die manuelle Passwortverwaltung überflüssig, während PPSK für Multi-Tenant-WiFi es Immobilienverwaltern ermöglicht, isolierte Netzwerke bereitzustellen, ohne dedizierte Hardware pro Einheit installieren zu müssen.

Schlüsseldefinitionen

Hotspot Gateway

Eine RouterOS-Funktion, die nicht authentifizierten HTTP-Datenverkehr abfängt und auf eine Captive Portal-Begrüßungsseite (Splash Page) umleitet.

Wird verwendet, um Gästedaten zu erfassen und Nutzungsbedingungen durchzusetzen, bevor Internetzugang gewährt wird.

Walled Garden

Eine Liste erlaubter Ziele, auf die nicht authentifizierte Benutzer zugreifen können.

Entscheidend dafür, dass Gäste die Purple-Begrüßungsseite, CDNs und OAuth-Anbieter (wie Google) erreichen können, um den Anmeldevorgang abzuschließen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung mit einem LAN oder WLAN herstellen möchten.

Wird für sicheres Staff WiFi verwendet und ermöglicht die Authentifizierung über Entra ID oder Okta anstelle eines gemeinsamen Passworts.

Private PSK (PPSK)

Eine Sicherheitsarchitektur, bei der mehrere eindeutige Pre-Shared Keys auf einer einzigen SSID verwendet werden, die oft an bestimmte MAC-Adressen und VLANs gebunden sind.

Ideal für Multi-Tenant WiFi, da es isolierte Netzwerbumgebungen für Bewohner und deren Endgeräte bereitstellt.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) bereitstellt.

Das Kernprotokoll, das MikroTik-Hardware mit der Cloud-Plattform von Purple zur Identitätsprüfung verbindet.

VLAN-Filterung

Eine RouterOS-Bridge-Einstellung, die VLAN-Tagging- und Untagging-Regeln auf Bridge-Ports erzwingt.

Muss aktiviert sein, damit die dynamische VLAN-Zuweisung über RADIUS korrekt funktioniert.

CAPsMAN

Controlled Access Point system Manager. Das zentrale Wireless-Verwaltungssystem von MikroTik.

Wird verwendet, um konsistente Wireless-Sicherheitsprofile und RADIUS-Einstellungen über mehrere Access-Points hinweg bereitzustellen.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Eine hochsichere Authentifizierungsmethode, die clientseitige Zertifikate erfordert.

Wird von Purple für Zero-Trust-Staff WiFi-Bereitstellungen unterstützt, bei denen eine passwortlose Authentifizierung erforderlich ist.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicheres Staff WiFi über seine MikroTik-Access-Points bereitstellen. Die Finanzabteilung soll im VLAN 10 und das Betriebspersonal im VLAN 20 platziert werden, unter Verwendung ihrer bestehenden Microsoft Entra ID-Anmeldedaten.

  1. Integrieren Sie Purple mit Microsoft Entra ID im Purple-Dashboard.
  2. Konfigurieren Sie den MikroTik RADIUS-Client so, dass er mit service=wireless auf Purple verweist.
  3. Erstellen Sie ein MikroTik-Wireless-Sicherheitsprofil mit authentication-types=wpa2-eap.
  4. Aktivieren Sie vlan-filtering=yes auf der MikroTik-Bridge.
  5. Ordnen Sie in Purple die Entra ID-Gruppe „Finance“ so zu, dass sie Mikrotik-Wireless-VLANID=10 zurückgibt, und die Gruppe „Operations“ so, dass sie Mikrotik-Wireless-VLANID=20 zurückgibt.
Kommentar des Prüfers: Dieser Ansatz nutzt IEEE 802.1X für eine sichere, passwortlose Authentifizierung. Durch die Nutzung von Entra ID-Gruppen und RADIUS-Attributen segmentiert das Netzwerk den Datenverkehr dynamisch am Edge, was die Angriffsfläche verringert und eine manuelle VLAN-Konfiguration auf dem Router überflüssig macht.

Ein Verwalter von Mietwohnungen (Build-to-Rent) muss isolierte WiFi-Netzwerke für 50 Wohnungen über eine einzige SSID bereitstellen, die von MikroTik CAPsMAN übertragen wird.

  1. Konfigurieren Sie das MikroTik-Wireless-Sicherheitsprofil für die SSID mit authentication-types=wpa2-psk und radius-mac-authentication=yes.
  2. Stellen Sie sicher, dass der RADIUS-Client mit service=wireless konfiguriert ist und auf Purple verweist.
  3. Registrieren Sie im Purple-Dashboard die MAC-Adressen der Geräte der Bewohner.
  4. Weisen Sie jeder Wohnung in Purple einen eindeutigen PSK und eine VLAN-ID zu.
  5. Wenn sich ein Gerät verbindet, gibt Purple die Attribute Mikrotik-Wireless-Psk und Mikrotik-Wireless-VLANID zurück und platziert das Gerät in seiner isolierten Netzwerbumgebung.
Kommentar des Prüfers: Diese Private PSK (PPSK)-Architektur bietet Isolation auf Enterprise-Niveau und unterstützt gleichzeitig Endgeräte, die keine 802.1X-Funktionen bieten. Sie lässt sich effizient skalieren und ermöglicht eine zentrale Verwaltung über Purple.

Übungsfragen

Q1. Sie haben das MikroTik Hotspot Gateway konfiguriert und auf den RADIUS-Server von Purple verwiesen. Gäste verbinden sich mit der SSID, aber ihre Browser zeigen einen Timeout-Fehler anstelle der Purple-Begrüßungsseite an. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Überlegen Sie, was passieren muss, bevor sich der Gast authentifiziert.

Musterlösung anzeigen

Der Walled Garden ist falsch konfiguriert oder es fehlen Einträge. Ohne den Zugriff auf die Domänen der Purple-Begrüßungsseite und die zugehörigen CDNs in /ip hotspot walled-garden zuzulassen, kann der nicht authentifizierte Gast die Anmeldeseite nicht laden, was zu einem Timeout führt.

Q2. Eine Einzelhandelskette möchte Staff WiFi unter Verwendung von 802.1X und Entra ID bereitstellen. Sie konfigurieren `authentication-types=wpa2-eap` und richten den RADIUS-Client ein. Die Authentifizierung schlägt jedoch fehl. Sie überprüfen die Konfiguration des RADIUS-Clients und sehen `service=hotspot`. Wie lösen Sie dieses Problem?

Hinweis: Verschiedene Wireless-Authentifizierungsmethoden erfordern unterschiedliche RADIUS-Diensttypen in RouterOS.

Musterlösung anzeigen

Ändern Sie die Konfiguration des RADIUS-Clients so, dass sie service=wireless enthält. Der Diensttyp hotspot wird nur für die Captive Portal-Authentifizierung verwendet. Die 802.1X- und MAC-Authentifizierung erfordern den Diensttyp wireless.

Q3. Sie stellen Multi-Tenant WiFi unter Verwendung von Private PSKs bereit. Purple gibt die Attribute `Mikrotik-Wireless-Psk` und `Mikrotik-Wireless-VLANID` erfolgreich zurück, und das Gerät verbindet sich. Das Gerät erhält jedoch eine IP-Adresse aus dem Standard-Verwaltungssubnetz und nicht aus dem isolierten Mandantensubnetz. Welche RouterOS-Einstellung fehlt?

Hinweis: Die dynamische VLAN-Zuweisung erfordert, dass die Bridge VLAN-Tags verarbeitet.

Musterlösung anzeigen

Die Bridge-VLAN-Filterung ist deaktiviert. Sie müssen vlan-filtering=yes auf der Bridge-Schnittstelle festlegen. Ohne diese Einstellung ignoriert die Bridge das von RADIUS zugewiesene dynamische VLAN-Tag, und der Datenverkehr fällt auf die standardmäßige ungetaggte PVID zurück.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

Leitfaden lesen →

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

Leitfaden lesen →