Zum Hauptinhalt springen

Schritt-für-Schritt-Anleitung: Konfiguration von Ruijie Wireless Controllern für Gäste-WiFi Captive Portals

Diese Anleitung bietet eine vollständige technische Anleitung zur Konfiguration von Ruijie Wireless Controllern und Gateways für die Bereitstellung von Gäste-WiFi Captive Portals auf Enterprise-Niveau. Sie deckt VLAN-Segmentierung, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfiguration und die nahtlose Integration mit der Identity-Based Networks-Plattform von Purple ab, um First-Party-Daten zu erfassen und messbaren geschäftlichen Nutzen im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor zu erzielen.

📖 8 Min. Lesezeit📝 1,834 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zur technischen Briefing-Reihe von Purple. Heute behandeln wir eines der am häufigsten gesuchten Themen im Bereich Enterprise Wireless: die Konfiguration von Ruijie Wireless Controllern für sichere Gäste-WiFi Captive Portals. Ich bin Ihr Moderator, und dies ist ein zehnminütiges Briefing für IT-Manager, Netzwerkarchitekten und Standortleiter, die dieses Thema auf Anhieb richtig umsetzen müssen. Beginnen wir mit dem Kontext. Wenn Sie die IT für ein Hotel, eine Einzelhandelskette, ein Konferenzzentrum oder einen großen öffentlichen Veranstaltungsort verwalten, ist Gäste-WiFi kein bloßer Zusatzdienst mehr. Es ist eine grundlegende betriebliche Anforderung. Gäste erwarten es. Regulierungsbehörden verlangen einen verantwortungsvollen Umgang mit ihren Daten. Und Ihr Marketingteam wünscht sich die dadurch generierten First-Party-Daten. Die Herausforderung besteht darin, dies sicher über ein verteiltes Portfolio hinweg im großen Maßstab bereitzustellen, ohne Compliance-Probleme zu verursachen. Ruijie Networks ist einer der weltweit größten Anbieter von Enterprise-Netzwerklösungen mit einer bedeutenden installierten Basis im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor. Die Wireless Controller der RG-WS-Serie und die Gateways der RG-EG-Serie sind leistungsstarke Plattformen für Enterprise-Gäste-WiFi, aber die Konfiguration des Captive Portals erfordert eine präzise Ausführung. Wenn Sie hier Fehler machen, riskieren Sie entweder eine Sicherheitslücke oder ein Portal, das schlichtweg nicht funktioniert. Kommen wir nun zur technischen Architektur. Das absolute Fundament jedes sicheren Gästenetzwerks ist die Isolierung des Datenverkehrs. Gäste-Geräte dürfen sich nicht im selben Netzwerksegment wie Ihre Zahlungsterminals, die Laptops Ihrer Mitarbeiter oder Ihre Back-Office-Server befinden. Der Mechanismus hierfür ist die VLAN-Segmentierung. In einer Ruijie-Umgebung erstellen Sie ein dediziertes Gäste-VLAN auf Ihrem Core-Switch, weisen ihm ein separates IP-Subnetz zu und leiten es per Trunk an Ihre Access Points weiter. Eine typische Bereitstellung nutzt beispielsweise VLAN 10 für das Unternehmen, VLAN 20 für Voice, VLAN 30 für Gäste und VLAN 99 für das Management. Dies ist nicht verhandelbar. Wenn Sie diesen Schritt überspringen, haben Sie zwar komfortables WiFi, aber kein sicheres WiFi. Sobald das Netzwerk korrekt segmentiert ist, fahren wir mit der Authentifizierung fort. Ein gemeinsam genutzter Pre-Shared Key bietet keine Sicherheit auf Enterprise-Niveau. Er bietet keine Nachvollziehbarkeit, keine individuelle Sitzungsverfolgung und keine Möglichkeit, den Zugriff für einen einzelnen Benutzer zu sperren, ohne das Passwort für alle zu ändern. Stattdessen nutzen wir ein externes Captive Portal mit RADIUS-Authentifizierung. Und so funktioniert der Ablauf: Ein Gast verbindet sich mit der offenen SSID, die vom Ruijie Access Point ausgestrahlt wird. Das Ruijie-Gateway fängt seinen HTTP-Datenverkehr ab und leitet ihn auf eine externe Splash Page um – in diesem Fall gehostet von Purple. Der Gast sees eine gebrandete Anmeldeseite. Er authentifiziert sich, beispielsweise über eine E-Mail-Registrierung, einen Social-Login oder eine One-Click-Bestätigung. Die Server von Purple verarbeiten diese Authentifizierung und senden eine RADIUS-Accept-Nachricht an den Ruijie-Controller zurück. Der Controller gibt daraufhin den Internetzugang für das Gerät frei. Dieser gesamte Ablauf nutzt das WISPr-Protokoll, das den Standard-Framework für die externe Captive Portal-Authentifizierung in Enterprise-WLANs darstellt. Der geschäftliche Nutzen ist hierbei erheblich. Jedes Authentifizierungsereignis erfasst eine Einwilligung. Die Plattform von Purple speichert diese Daten GDPR- und CCPA-konform, baut eine First-Party-Marketingdatenbank auf und liefert Ihrem Team wertvolle Analysen. Harrods nutzte diesen Ansatz, um sein Treueprogramm zu bewerben, und erzielte einen 57-fachen Return on Investment. c2c Rail erreichte einen Return on Investment von 121 % und sparte 76.000 Pfund an Betriebskosten ein. Das ist das wirtschaftliche Argument dafür, dies richtig anzugehen. Gehen wir nun die spezifischen Konfigurationsschritte in der Ruijie Cloud oder auf der lokalen Controller-Oberfläche durch. Schritt eins: Erstellen Sie die Gäste-SSID. Melden Sie sich in der Ruijie Cloud oder auf Ihrem lokalen Controller an. Navigieren Sie zu Device Config, wählen Sie unter Wireless die Option Wi-Fi und erstellen Sie eine neue SSID. Benennen Sie sie eindeutig, zum Beispiel „Free Guest WiFi“. Stellen Sie den Sicherheitsmodus auf Open und weisen Sie sie Ihrem Gäste-VLAN zu. Schritt zwei: Definieren Sie die Captive Portal-Richtlinie. Navigieren Sie zu Auth and Account und wählen Sie unter Authentication die Option Captive Portal. Erstellen Sie eine neue Richtlinie. Stellen Sie den Policy Mode auf External. Setzen Sie das Authentication Device auf Ihr Ruijie-Gateway oder Ihren Access Point. Wählen Sie die Gäste-SSID aus. Geben Sie im Feld Portal Server URL die URL Ihrer Purple Splash Page ein. Tragen Sie die IP-Adressen der Purple RADIUS-Server ein. Schritt drei: Konfigurieren Sie den Walled Garden, den Ruijie als Allowlist bezeichnet. Dies ist das am häufigsten fehlerhaft konfigurierte Element bei jeder Captive Portal-Bereitstellung. Der Walled Garden definiert, welcher Datenverkehr zugelassen wird, bevor sich der Benutzer authentifiziert. Wenn Sie die Purple-Domains nicht explizit freigeben, lädt die Splash Page nicht. Wenn Sie einen Facebook- oder Google-Login anbieten, aber deren OAuth-Domains nicht zulassen, bleibt die Authentifizierung bei der Social-Login-Schaltfläche hängen. Fügen Sie alle erforderlichen Domains der Purple-Infrastruktur und alle Social-Media-Anbieter-Domains hinzu, die Sie unterstützen möchten. Schritt vier: RADIUS konfigurieren. Fügen Sie die primären und sekundären IP-Adressen der Purple RADIUS-Server hinzu. Geben Sie den Shared Secret aus Ihrem Purple-Dashboard ein. Stellen Sie sicher, dass das RADIUS-Accounting auf Port 1813 aktiviert ist. Dies ermöglicht es Purple, die Sitzungsdauer und den Datenverbrauch genau zu verfolgen, was direkt in Ihre Analyseberichte einfließt. Schritt fünf: QoS-Richtlinien anwenden. Unbeschränkter Gästezugang kann Ihre Internetverbindung überlasten. Legen Sie auf dem Ruijie-Gateway feste Bandbreitenbegrenzungen pro Benutzer fest – typischerweise fünf bis zehn Megabit im Download und zwei bis fünd im Upload für eine Standardbereitstellung im Gastgewerbe. Dies schützt die Erfahrung aller Gäste und verhindert, dass ein einzelnes Gerät das Netzwerk beeinträchtigt. Lassen Sie uns nun die kritischen Fallstricke bei der Implementierung betrachten. Der erste ist der Walled Garden. Ich kann nicht oft genug betonen, wie häufig dies die Ursache für eine fehlgeschlagene Bereitstellung ist. Testen Sie Ihr Portal mit einem sauberen Gerät ohne zwischengespeicherte Anmeldedaten. Wenn die Seite nicht lädt, überprüfen Sie zuerst Ihre Allowlist. Der zweite Fallstrick ist die Einstellung Portal Escape. Diese Ruijie-Funktion gibt den Benutzerdatenverkehr automatisch frei, wenn der Access Point und der Portal-Server nicht mehr erreichbar sind. Das klingt praktisch, bedeutet aber, dass unauthentifizierte Benutzer während eines Ausfalls Internetzugang erhalten. In einer Enterprise-Umgebung, in der die Erfassung der Einwilligung gesetzlich vorgeschrieben ist, sollten Sie dies deaktivieren, um jederzeit eine strikte Authentifizierung durchzusetzen. Der dritte Fallstrick sind die Firmware-Versionen. Einige Captive Portal-Funktionen – insbesondere im Bereich der Bandbreitensteuerung und der dynamischen VLAN-Zuweisung – erfordern bestimmte Firmware-Versionen auf dem Ruijie-Gateway. Prüfen Sie vor der Bereitstellung die Release Notes von Ruijie und stellen Sie sicher, dass auf Ihren Geräten eine unterstützte Firmware-Version läuft. Kommen wir nun zu den schnellen Fragen. Sollte ich das Captive Portal auf dem Access Point oder dem Gateway verwalten? Verwalten Sie es bei einer Ruijie-Enterprise-Bereitstellung auf dem Gateway. Die Gateways der RG-EG-Serie sind dafür ausgelegt, das Abfangen des externen Portals zu steuern und QoS-Richtlinien durchzusetzen. Access Points konzentrieren sich auf die HF-Leistung und die SSID-Ausstrahlung. Kann ich mehrere Captive Portals auf verschiedenen SSIDs betreiben? Ja. Ruijie unterstützt mehrere Captive Portal-Richtlinien, die verschiedenen SSIDs zugeordnet sind. Sie könnten beispielsweise ein Standard-Gästeportal auf einer SSID und ein kostenpflichtiges Premium-Portal auf einer anderen betreiben, jeweils mit unterschiedlichen Bandbreitenbegrenzungen und Authentifizierungsmethoden. Wie verwalte ich eine Bereitstellung an mehreren Standorten? Nutzen Sie die Ruijie Cloud, um die Konfiguration zentral zu verwalten. Sie können Portal-Richtlinien gleichzeitig auf alle Standorte übertragen, was die Konsistenz gewährleistet und Konfigurationsabweichungen zwischen den Standorten verhindert. Zusammenfassend die wichtigsten Erkenntnisse: Segmentieren Sie Ihren Datenverkehr mit VLANs, bevor Sie irgendetwas anderes tun. Nutzen Sie die externe RADIUS-Authentifizierung, um konforme First-Party-Daten zu erfassen. Konfigurieren Sie Ihren Walled Garden sorgfältig und testen Sie ihn mit einem sauberen Gerät. Treffen Sie eine bewusste Entscheidung bezüglich Portal Escape basierend auf Ihren Compliance-Anforderungen. Wenden Sie QoS an, um die Benutzererfahrung zu schützen. Und integrieren Sie Ihre Ruijie-Infrastruktur mit den Identity-Based Networks von Purple, um eine einfache Verbindung in ein sicheres, datengestütztes und umsatzgenerierendes Asset zu verwandeln. Purple ist an über achtzigtausend Live-Standorten im Einsatz, hat im Jahr 2024 vierhundertvierzig Millionen Logins verarbeitet und ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Wir sind hardwareunabhängig, was bedeutet, dass Ihre Investition in Ruijie vollständig mit unserer Cloud-Overlay-Plattform kompatibel ist. Vielen Dank fürs Zuhören. Wenn Sie erfahren möchten, wie sich Purple in Ihre Ruijie-Infrastruktur integrieren lässt, besuchen Sie purple dot ai slash guest dash wifi. Stellen Sie Ihre Netzwerke sicher bereit, und wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

Die Bereitstellung von Gäste-WiFi in verteilten Unternehmen bedeutet mehr als nur das Bereitstellen einer offenen SSID. Für IT-Manager und Netzwerkarchitekten besteht die Herausforderung darin, einen nahtlosen Zugang mit strenger Sicherheit, GDPR-Konformität und Anforderungen an die Datenerfassung in Einklang zu bringen. Diese Anleitung beschreibt die genauen Konfigurationsschritte für die Bereitstellung eines sicheren, skalierbaren Captive Portals mit Ruijie Wireless Controllern und Gateways. Sie zeigt, wie die Integration dieser Infrastruktur mit der Gäste-WiFi -Plattform von Purple eine einfache drahtlose Verbindung in ein konformes und umsatzgenerierendes Asset verwandelt.

Wir behandeln technische Voraussetzungen, VLAN-Isolationsstrategien, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfigurationen sowie spezifische QoS-Einstellungen für produktive Implementierungen. Ob Sie ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Filialen oder ein Stadion mit 40.000 Plätzen verwalten: Diese Anleitung bietet eine verlässliche Vorlage für die sichere Einrichtung eines Ruijie Captive Portals. Purple ist weltweit an über 80.000 aktiven Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple). Die hier beschriebenen Integrationsmuster haben sich somit im großen Maßstab bewährt.

architecture_overview.png

Technische Architektur und Voraussetzungen

Bevor Sie Ihren Ruijie-Controller konfigurieren, sollten Sie die richtige Netzwerkarchitektur aufbauen. Ein sicheres Gästenetzwerk erfordert eine vollständige Isolierung vom Unternehmensdatenverkehr auf Layer 2 (Switch-Ebene).

Netzwerksegmentierung

Das Fundament für sicheres Gäste-WiFi ist die VLAN-Isolierung. Sie müssen ein dediziertes Gäste-VLAN auf Ihrem Ruijie-Gateway oder Core-Switch einrichten. Dies stellt sicher, dass der Datenverkehr von Gästen niemals mit internen Systemen, Zahlungsterminals oder Mitarbeitergeräten in Berührung kommt. Ein typisches Enterprise-VLAN-Schema für Ruijie-Bereitstellungen sieht wie folgt aus:

VLAN-ID Verwendung Anmerkungen
10 Unternehmen Mitarbeitergeräte, interne Server
20 Voice VoIP-Telefone
30 Gäste Captive Portal, nur Internet
40 IoT Drucker, Smart-TVs, Sensoren
99 Management Controller, Switch-Verwaltung

Weitere Informationen darüber, warum verbraucherorientierte Ansätze hier scheitern, finden Sie in unserem Artikel Warum Consumer-WiFi-Geräte nicht für Ihr Gästenetzwerk geeignet sind .

Erforderliche Komponenten

Für diese Bereitstellung benötigen Sie:

  • Ein Ruijie Cloud-Konto oder einen lokalen Ruijie RG-WS Wireless Controller (z. B. RG-WS6008 oder RG-WS7110).
  • Ein Ruijie RG-EG Gateway – erforderlich für die externe Portal-Authentifizierung über WISPr.
  • Ruijie RG-AP Access Points (z. B. RG-AP820-I, RG-AP850-AR).
  • Eine Lizenz für Purple Connect, Capture oder Engage.
  • Ausgehenden UDP-Zugriff für die Ports 1812 (RADIUS-Authentifizierung) und 1813 (RADIUS-Accounting) vom Gateway zu den Purple-Servern.

Übersicht über die Authentifizierungsprotokolle

Ruijie unterstützt verschiedene Authentifizierungsmethoden. Für Implementierungen auf Enterprise-Ebene sollte die externe RADIUS-Authentifizierung verwendet werden. Diese Methode nutzt das WISPr-Protokoll (Wireless Internet Service Provider roaming), um nicht authentifizierte Benutzer sicher auf die Splash Page (Anmeldeseite) von Purple weiterzuleiten, ihre Anmeldedaten zu verarbeiten und eine RADIUS-Accept- oder RADIUS-Reject-Nachricht an den Ruijie-Controller zurückzusenden.

comparison_chart.png

Die obige Tabelle fasst die fünf von der Ruijie-Plattform angebotenen Authentifizierungsmethoden zusammen. E-Mail-Registrierung und Social-Media-Logins sind im Hotel- und Einzelhandelsbereich am beliebtesten, da sie strukturierte, GDPR-konforme First-Party-Daten erfassen. Voucher-Codes eignen sich für Konferenzräume und kostenpflichtige Tarife. RADIUS mit 802.1X ist für Mitarbeiter-Netzwerke reserviert, die eine verzeichnisgestützte Authentifizierung erfordern.

Schritt-für-Schritt-Anleitung

Führen Sie die folgenden Schritte in der Ruijie Cloud oder auf der lokalen Controller-Oberfläche aus. Die folgenden UI-Pfade gelten für die neue Ruijie Cloud-Oberfläche (nach 2024) und die Ruijie JaCS-Plattform.

Schritt 1: Gäste-SSID konfigurieren

Richten Sie das drahtlose Netzwerk ein.

  1. Melden Sie sich in der Ruijie Cloud oder auf der Weboberfläche des lokalen Controllers an.
  2. Navigieren Sie zu Device Config und wählen Sie unter „Wireless“ die Option Wi-Fi.
  3. Klicken Sie auf +, um eine neue SSID zu erstellen, oder bearbeiten Sie eine bestehende SSID.
  4. Legen Sie den SSID Name fest (z. B. „Free Guest WiFi“).
  5. Stellen Sie den Security Mode auf Open (kein Pre-Shared Key).
  6. Weisen Sie die SSID Ihrem dedizierten Gäste-VLAN zu (z. B. VLAN 30).
  7. Speichern Sie die SSID-Konfiguration.

Schritt 2: Captive Portal-Richtlinie definieren

Weisen Sie den Controller an, den Datenverkehr von Gästen abzufangen und an Purple weiterzuleiten.

  1. Navigieren Sie zu Auth & Account und wählen Sie unter „Authentication“ die Option Captive Portal.
  2. Erstellen Sie eine neue Richtlinie. Vergeben Sie einen aussagekräftigen Policy Name (z. B. „Purple-Guest-Portal“).
  3. Stellen Sie den Policy Mode auf External.
  4. Stellen Sie das Authentication Device auf Ihr Ruijie-Gateway (RG-EG-Serie) oder Ihre Access Points ein.
  5. Wählen Sie die in Schritt 1 erstellte Gäste-SSID aus.
  6. Geben Sie im Feld Portal Server URL Ihre spezifische Purple Splash Page-URL ein (zu finden im Purple-Dashboard unter „Hardware-Konfiguration“).
  7. Geben Sie die IP-Adressen der Purple RADIUS-Server in die entsprechenden Felder ein.
  8. Stellen Sie die Dauer für Seamless Online so ein, dass sie Ihrer Richtlinie für das Sitzungs-Timeout entspricht (z. B. 24 Stunden für das Gastgewerbe, 1 Stunde für den Einzelhandel).
  9. Legen Sie das Verhalten für Portal Escape fest – siehe Abschnitt „Best Practices“ unten.

Schritt 3: Walled Garden (Allowlist) konfigurieren

Das Captive Portal fängt den gesamten Datenverkehr ab, bis sich der Benutzer authentifiziert hat. Bestimmter Datenverkehr muss in der Pre-Authentifizierungsphase zugelassen werden, damit die Anmeldeseite geladen und Social-Media-Logins verarbeitet werden können. Dies ist der am häufigsten fehlerhaft konfigurierte Teil einer Captive Portal-Bereitstellung.

  1. Navigieren Sie zu Auth & Account und wählen Sie Allowlist.
  2. Fügen Sie alle erforderlichen Domains der Purple-Infrastruktur hinzu. Ihr Purple-Dashboard enthält eine spezifische Liste für Ihre Region.
  3. Wenn Sie Social-Media-Logins anbieten, fügen Sie die OAuth-Domains der jeweiligen Anbieter hinzu:
    • Für Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • Für Google Workspace: *.google.com, accounts.google.com
    • Für Okta: Ihre spezifische Okta-Tenant-Domain
  4. Wenn Sie kostenpflichtige WiFi-Tarife anbieten, fügen Sie die Domains der Zahlungsanbieter hinzu.
  5. Speichern Sie die Allowlist und wenden Sie sie an.

Schritt 4: RADIUS-Authentifizierung konfigurieren

Richten Sie den sicheren Kommunikationskanal zwischen Ruijie und Purple ein.

  1. Navigieren Sie zu den RADIUS-Servereinstellungen in Ihrem Ruijie-Controller oder -Gateway.
  2. Fügen Sie die IP-Adresse des primären Purple RADIUS-Servers und Port 1812 für die Authentifizierung hinzu.
  3. Fügen Sie die IP-Adresse des sekundären Purple RADIUS-Servers als Failover hinzu.
  4. Geben Sie den Shared Secret (gemeinsamen Schlüssel) aus Ihrem Purple-Dashboard ein. Dieser muss exakt übereinstimmen.
  5. Fügen den Accounting-Server auf Port 1813 hinzu und aktivieren Sie das RADIUS-Accounting. Dies erfasst die Sitzungsdauer und den Datenverbrauch und leitet diese Daten direkt an die WiFi Analytics -Berichte von Purple weiter.
  6. Stellen Sie den NAS Identifier auf eine eindeutige Zeichenfolge ein (z. B. den Namen Ihres Standorts), um den Datenverkehr in den Analysen von Purple zu unterscheiden.

Schritt 5: QoS-Richtlinien anwenden

Zu Spitzenzeiten kann unbegrenzter Gästezugang Ihre Internetleitung überlasten.

  1. Navigieren Sie zum Bereich QoS oder Bandbreitenmanagement Ihres Ruijie-Gateways.
  2. Legen Sie Download-Limits pro Benutzer fest (z. B. 10 Mbps für Hotelgäste, 5 Mbps für Einzelhandelskunden).
  3. Legen Sie Upload-Limits pro Benutzer fest (z. B. 2–5 Mbps).
  4. Deaktivieren Sie Client Escape, um sicherzustellen, dass nicht authentifizierte Benutzer keinen Netzwerkzugriff erhalten, wenn der Portal-Server vorübergehend nicht erreichbar ist.
  5. Speichern Sie die Konfiguration und übertragen Sie sie auf alle relevanten Geräte.

Schritt 6: Bereitstellung testen

Testen Sie unbedingt mit einem sauberen Gerät ohne zwischengespeicherte Anmeldedaten.

  1. Verbinden Sie ein Mobilgerät mit der Gäste-SSID.
  2. Öffnen Sie einen Browser und navigieren Sie zu einer Nicht-HTTPS-URL (z. B. http://example.com). Die Portalseite sollte umgeleitet werden.
  3. Überprüfen Sie, ob die Purple Splash Page korrekt geladen wird.
  4. Schließen Sie den Authentifizierungsprozess ab.
  5. Bestätigen Sie, dass nach der Authentifizierung der Internetzugang freigegeben wurde.
  6. Überprüfen Sie das Purple-Dashboard, um sicherzustellen, dass die Sitzung in Ihren Analysedaten angezeigt wird.

Best Practices für Enterprise-Bereitstellungen

Sicherheit und Compliance

Verlassen Sie sich beim Gästezugang niemals auf gemeinsam genutzte PSKs. Gemeinsame Passwörter bieten keine Nachvollziehbarkeit und können nicht für einzelne Benutzer widerrufen werden. Durch die Verwendung des Captive Portals von Purple mit individueller Authentifizierung können Sie die ausdrückliche Zustimmung der Benutzer zur Datenverarbeitung einholen und so die Anforderungen von Artikel 7 der GDPR erfüllen. Purple ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert, was sicherstellt, dass der Datenerfassungsmechanismus selbst auditierbar ist.

Für einen tieferen Einblick in Sicherheitsarchitekturen lesen Sie unseren Enterprise-WiFi-Sicherheit: Der vollständige Leitfaden für 2026 und Was ist sicheres WiFi: Der unverzichtbare Leitfaden für Unternehmen im Jahr 2026 .

Portal Escape: Eine bewusste Entscheidung

Die Portal Escape-Funktion von Ruijie gibt den Benutzerdatenverkehr automatisch frei, wenn die Verbindung zwischen AP und Portal-Server unterbrochen ist. In einer Hotelumgebung entscheiden Sie sich möglicherweise dafür, diese Funktion zu aktivieren – da ein vorübergehender Ausfall des Servers, der Gäste am Verbinden hindert, zu Beschwerden führen kann. In einer Einzelhandels- oder Gesundheitsumgebung sollten Sie sie jedoch deaktivieren, da ein nicht authentifizierter Zugriff ein Compliance- und Sicherheitsrisiko darstellt. Dokumentieren Sie Ihre Entscheidung und die Gründe dafür in Ihrem Netzwerkhandbuch.

Konsistenz über mehrere Standorte hinweg

Nutzen Sie die Ruijie Cloud für ein zentrales Konfigurationsmanagement über alle Standorte hinweg. Übertragen Sie Portal-Richtlinien gleichzeitig, um Konfigurationsabweichungen zwischen den Standorten zu vermeiden – dies ist die häufigste Ursache für eine inkonsistente Gästeerfahrung in verteilten Umgebungen. Das Cloud-Overlay-Netzwerk von Purple funktioniert nach demselben Prinzip: Ein einziges Dashboard verwaltet alle Standorte.

Firmware-Management

Bestimmte Captive Portal-Funktionen von Ruijie (insbesondere Bandbreitensteuerung und dynamische VLAN-Zuweisung) erfordern eine bestimmte Firmware-Version auf dem Gateway. Diese Abhängigkeiten sind in den Release Notes von Ruijie dokumentiert. Stellen Sie sicher, dass Ihr RG-EG Gateway mit der Firmware-Version RGOS11.9(6)B17T1 oder höher läuft, um vollen QoS-Support in Cloud-verwalteten Bereitstellungen zu erhalten.

Fehlerbehebung und Risikominderung

Portalseite lädt nicht

Wenn das Captive Portal beim Verbinden eines Geräts nicht angezeigt wird, überprüfen Sie zuerst Ihre Walled-Garden-Einstellungen. Das Gerät muss in der Lage sein, DNS aufzulösen und die Purple Portal-URL aufzurufen, bevor es sich authentifiziert. Überprüfen Sie, ob Ihre Ruijie-Allowlist alle erforderlichen Domains enthält und ob Ihr DNS-Server vom Gäste-VLAN aus erreichbar ist.

Authentifizierungs-Timeout

Wenn Benutzer das Portal sehen, sich aber nicht anmelden können, liegt das Problem meist an der RADIUS-Konfiguration. Überprüfen Sie die IP-Adressen der RADIUS-Server, die Ports (1812 für Authentifizierung, 1813 für Accounting) und den Shared Secret. Stellen Sie sicher, dass Ihre Firewall ein- und ausgehenden UDP-Datenverkehr für diese Ports von der Management-IP des Ruijie-Gateways zulässt.

Social-Media-Login hängt

Wenn Benutzer auf eine Social-Media-Anmeldeschaltfläche klicken und nichts passiert, ist die OAuth-Weiterleitung blockiert. Fügen Sie die erforderlichen Domains der Social-Media-Anbieter zu Ihrer Ruijie-Allowlist hinzu. Sie können dies testen, indem Sie vorübergehend den gesamten Datenverkehr vor der Authentifizierung zulassen, um zu prüfen, ob das Portal funktioniert, und die Allowlist dann schrittweise einschränken.

Dynamische VLAN-Zuweisung schlägt fehl

Wenn Sie RADIUS verwenden, um Benutzer dynamisch VLANs zuzuweisen, stellen Sie sicher, dass die RADIUS-Antwort die richtigen VLAN-Attribute enthält (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID). Das RG-EG310GH-E und ähnliche Gateways von Ruijie unterstützen die dynamische VLAN-Zuweisung, diese Funktion erfordert jedoch eine explizite Konfiguration sowohl auf dem RADIUS-Server als auch auf dem Gateway.

ROI und geschäftliche Auswirkungen

Die Bereitstellung eines sicheren Captive Portals verwandelt das Gäste-WiFi von einer Kostenstelle in ein strategisches Asset. Die WiFi Analytics -Plattform von Purple lässt sich in Ihre Ruijie-Infrastruktur integrieren, um First-Party-Daten zu erfassen, hochqualifizierte Kontaktlisten aufzubauen und verwertbare Erkenntnisse über das Besucherverhalten an Ihren Standorten zu liefern.

Harrods nutzt das Gäste-WiFi von Purple, um sein Treueprogramm zu bewerben, und erzielte eine branchenführende Opt-in-Rate sowie einen 57-fachen ROI (Kundendaten von Purple). c2c Rail nutzte Purple, um Direktbuchungen zu fördern, was zu einem ROI von 121 % und Einsparungen bei den Betriebskosten in Höhe von 76.000 £ führte (Kundendaten von Purple). Pizza Express hat Purple in über 470 Restaurants implementiert, um detailliertere Kundenprofile zu erstellen.

Für Betreiber im Gastgewerbe können die beim Login erfassten Daten (E-Mail, Demografie, Besuchshäufigkeit) direkt in CRM-Systeme und Treueprogramme eingespeist werden. Im Einzelhandel lassen sich durch Wiederholungsbesuchsanalysen die wertvollsten Kunden identifizieren. Für Verkehrsknotenpunkte können Passagierflussdaten die Personalplanung und die Gestaltung von Gewerbeflächen optimieren.

Purple lässt sich in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks, Fortinet und Ruijie integrieren. Dies macht es zu einem hardwareunabhängigen Cloud-Overlay, das mit Ihren vorhandenen Geräten funktioniert, ohne dass diese ausgetauscht werden müssen.


Verwandte Anleitungen: Integration von Grandstream GWN Access Points mit Purple WiFi

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm Internetzugang gewährt wird. Sie fängt den gesamten HTTP-Datenverkehr ab und leitet den Browser des Benutzers auf die Portalseite um.

Der Kernmechanismus zur Durchsetzung der Authentifizierung in Gäste-WiFi-Netzwerken. Wird in Hotels, im Einzelhandel, in Stadien und an Standorten des öffentlichen Sektors eingesetzt, um den Zugriff zu kontrollieren und Einwilligungen einzuholen.

Walled Garden

Eine Allowlist vor der Authentifizierung, die es bestimmten Domains und IP-Adressen ermöglicht, das Abfangen durch das Captive Portal zu umgehen. Datenverkehr zu diesen Zielen ist zulässig, bevor sich der Benutzer authentifiziert.

Unerlässlich, damit Geräte die Splash Page laden, Social-Login-Anbieter erreichen und Zahlungsabläufe verarbeiten können, bevor der Benutzer vollständig authentifiziert ist. Eine Fehlkonfiguration an dieser Stelle ist die Hauptursache für Fehler beim Captive Portal.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden.

Das sichere Protokoll, das Ruijie-Controller zur Kommunikation mit den Servern von Purple verwenden. Authentifizierungsanfragen gehen an Port 1812 (UDP); Accounting-Einträge gehen an Port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Eine Protokollspezifikation, die definiert, wie ein Captive Portal nicht authentifizierte Benutzer auf eine Anmeldeseite umleitet und wie der Access Controller das Authentifizierungsergebnis empfängt.

Das spezifische Protokoll-Framework, das von Ruijie und Purple verwendet wird, um die externe Captive Portal-Umleitung und den Authentifizierungsfluss abzuwickeln. Erforderlich für den externen Portal-Modus auf Ruijie-Gateways.

VLAN-Isolierung

Die Praxis, den Netzwerkdatenverkehr auf Switch-Ebene in verschiedene virtuelle lokale Netzwerke (VLANs) zu trennen, um zu verhindern, dass Geräte in unterschiedlichen VLANs direkt miteinander kommunizieren.

Unverzichtbar für Gästenetzwerke. Stellt sicher, dass Gäste-Geräte nicht mit Unternehmensservern, Laptops von Mitarbeitern oder Zahlungsterminals kommunizieren können, selbst wenn sie mit derselben physischen Infrastruktur verbunden sind.

Portal Escape

Eine Ruijie-Funktion, die den Benutzerdatenverkehr automatisch freigibt, wenn der Access Point und der Portal-Server nicht mehr erreichbar sind, wodurch während eines Ausfalls ein unauthentifizierter Internetzugang ermöglicht wird.

Ein bewusster Kompromiss zwischen Verfügbarkeit und Sicherheit. Betreiber im Gastgewerbe aktivieren diese Funktion möglicherweise, um Beschwerden von Gästen bei Ausfällen zu vermeiden. Betreiber im Gesundheitswesen und im Einzelhandel deaktivieren sie in der Regel, um jederzeit eine strikte Authentifizierung durchzusetzen.

SSID

Service Set Identifier. Der öffentliche Name eines drahtlosen Netzwerks, den Geräte in ihrer Liste der verfügbaren Netzwerke anzeigen.

Der Netzwerkname, den Gäste auf ihren Geräten auswählen und der die Umleitung zum Captive Portal auslöst. Jede SSID in einer Ruijie-Bereitstellung ist einem bestimmten VLAN und einer Authentifizierungsrichtlinie zugeordnet.

QoS

Quality of Service. Eine Reihe von Technologien zur Verwaltung des Datenverkehrs, um Paketverlust, Latenz und Jitter zu reduzieren und eine vorhersehbare Leistung für bestimmte Arten von Datenverkehr sicherzustellen.

Wird in Gästenetzwerken verwendet, um die Bandbreite pro Benutzer zu begrenzen. Dies verhindert, dass ein einzelnes Gerät die Internetverbindung überlastet und die Erfahrung für alle anderen verbundenen Benutzer beeinträchtigt.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden.

Wird für Mitarbeiternetzwerke verwendet, die eine verzeichnisgestützte Identität erfordern (z. B. über Microsoft Entra ID oder Okta). Wird in der Regel nicht für Gästenetzwerke verwendet, bei denen ein Captive Portal mit RADIUS das geeignete Muster ist.

Ausgearbeitete Beispiele

Ein Hotel mit 250 Zimmern nutzt Ruijie RG-AP820-I Access Points und ein RG-EG310GH-E Gateway. Es wird verlangt, dass sich Gäste per E-Mail authentifizieren, um eine Marketing-Datenbank aufzubauen. Das Management ist besorgt, dass Gäste das Portal umgehen könnten, und befürchtet eine Bandbreitenüberlastung zu Spitzenzeiten während Konferenzveranstaltungen.

Das IT-Team erstellt ein dediziertes Gäste-VLAN (VLAN 40) auf dem Core-Switch und leitet dieses per Trunk an das Ruijie-Gateway und die APs weiter. In der Ruijie Cloud erstellen sie eine offene SSID, die VLAN 40 zugewiesen ist. Sie konfigurieren eine externe Captive Portal-Richtlinie, die auf die URL der Purple Splash Page verweist, unter Verwendung der Portal-Server-URL und der RADIUS-Anmeldedaten aus dem Purple-Dashboard. Entscheidend ist, dass sie den Walled Garden so konfigurieren, dass Datenverkehr nur zu den Domains von Purple zugelassen wird, und die Portal Escape-Funktion auf dem Ruijie-Gateway deaktivieren, um unauthentifizierten Zugriff bei einem Portalausfall zu verhindern. Sie wenden eine QoS-Richtlinie an, die jeden Client auf 10 Mbps Download und 3 Mbps Upload beschränkt. Für Konferenzveranstaltungen erstellen sie eine separate SSID auf VLAN 50 mit einem Voucher-basierten Portal und strengeren Bandbreitenbegrenzungen von 5 Mbps pro Gerät.

Kommentar des Prüfers: Dieser Ansatz isoliert den Gästedatenverkehr korrekt auf Layer 2, erzwingt eine externe RADIUS-Authentifizierung für eine GDPR-konforme Datenerfassung und wendet dem Anwendungsfall angemessene Bandbreitenkontrollen an. Das Deaktivieren von Portal Escape ist eine bewusste Sicherheitsentscheidung, die unauthentifizierten Zugriff bei Netzwerkstörungen verhindert. Die separate Konferenz-SSID mit Voucher-Authentifizierung ist ein praktisches Muster für Standorte, die sowohl Durchgangsgäste als auch Veranstaltungsteilnehmer mit unterschiedlichen Zugangsanforderungen beherbergen.

Eine Einzelhandelskette mit 50 Standorten nutzt Ruijie WS6008 Controller. Sie implementiert Social-Login (Facebook und Google Workspace) für Kunden, die auf das WiFi zugreifen, aber die Portalseite hängt, wenn Benutzer auf die Social-Login-Schaltflächen klicken. Das Problem betrifft alle 50 Standorte gleichzeitig.

Der IT-Manager stellt fest, dass in der Allowlist-Konfiguration (Walled Garden) auf den Ruijie-Controllern die von Facebook und Google benötigten OAuth-Domains fehlen. Während die Purple Portal-URL korrekt freigegeben war, wurden die für den OAuth-Handshake erforderlichen Domains der Social-Media-Anbieter durch das Abfangen des Captive Portals blockiert. Das Team fügt die erforderlichen Wildcard-Domains – insbesondere *.facebook.com, *.fbcdn.net, accounts.google.com und *.googleapis.com – zur Ruijie-Allowlist hinzu. Sie übertragen die aktualisierte Konfiguration über die Ruijie Cloud gleichzeitig an alle 50 Standorte und beheben das Problem so für den gesamten Bestand in einem einzigen Arbeitsschritt.

Kommentar des Prüfers: Eine Fehlkonfiguration des Walled Garden ist die häufigste Ursache für das Fehlschlagen von Social-Logins bei Captive Portal-Bereitstellungen. Das Captive Portal muss den Datenverkehr vor der Authentifizierung zu den OAuth-Domains der Identity Provider explizit zulassen, da der Umleitungsprozess andernfalls nicht abgeschlossen werden kann. Die Verwendung der Ruijie Cloud für die zentrale Übertragung der Konfiguration ist der richtige Ansatz für einen Bestand mit mehreren Standorten – eine manuelle Konfiguration pro Standort an 50 Standorten wäre fehleranfällig und zeitaufwendig.

Übungsfragen

Q1. Sie haben ein externes Captive Portal auf einem Ruijie RG-EG Gateway konfiguriert. Gäste verbinden sich mit der SSID, aber ihre Geräte melden „Keine Internetverbindung“ und die Portalseite lädt nie. Was ist der wahrscheinlichste Konfigurationsfehler und wie beheben Sie ihn?

Hinweis: Überlegen Sie, welche Netzwerkoperationen erfolgreich sein müssen, bevor der Benutzer überhaupt die Anmeldeseite sehen kann.

Musterlösung anzeigen

Der Walled Garden (Allowlist) ist fehlerhaft konfiguriert. Das Ruijie-Gateway blockiert die DNS-Auflösung oder den HTTP-Datenverkehr, der zum Erreichen der externen Purple Splash Page-URL erforderlich ist. Vor der Authentifizierung muss das Gerät in der Lage sein, die Portal-Domain aufzulösen und eine HTTP-Verbindung zu ihr herzustellen. Fügen Sie die spezifischen Purple-Domains zur Pre-Authentifizierungs-Allowlist im Ruijie-Bereich „Auth & Account“ hinzu. Überprüfen Sie außerdem, ob dem Gäste-VLAN über DHCP ein gültiger DNS-Server zugewiesen wurde.

Q2. Der IT-Leiter eines Stadions möchte Ruijie APs für das Fan-WiFi während Veranstaltungen bereitstellen. Er möchte Marketingdaten erfassen, ist jedoch besorgt, dass die RADIUS-Authentifizierung zu Verzögerungen führt, wenn sich in den ersten 30 Minuten nach Einlass 10.000 Fans gleichzeitig verbinden. Wie sollte er den Authentifizierungsfluss gestalten, um Datenerfassung und Benutzererfahrung in Einklang zu bringen?

Hinweis: Berücksichtigen Sie den Kompromiss zwischen Datenreichtum und Authentifizierungsaufwand im großen Maßstab.

Musterlösung anzeigen

Er sollte den One-Click-Login von Purple für wiederkehrende Fans nutzen, die sich bereits zuvor authentifiziert haben. Dies umgeht das Ausfüllen von Formularen und reduziert die RADIUS-Last. Für neue Fans ist ein minimales E-Mail-Erfassungsformular dem Social-Login vorzuziehen, da letzteres zusätzliche OAuth-Roundtrips erfordert. Das Ruijie-Gateway muss so dimensioniert sein, dass es gleichzeitige RADIUS-Anfragen verarbeiten kann – für 10.000 gleichzeitige Verbindungen ist ein leistungsstarkes Gateway der RG-EG-Serie erforderlich. Durch die Aktivierung von Seamless Online mit einer Sitzungsdauer von 30 Tagen verbinden sich wiederkehrende Fans bei nachfolgenden Veranstaltungen automatisch. Die QoS-Limits sollten streng sein (5 Mbps pro Gerät), um zu verhindern, dass früh eintreffende Besucher die Leitung überlasten, bevor die breite Masse eintrifft.

Q3. Während eines Sicherheitsaudits greift ein Penetrationstester auf den Dateiserver des Unternehmens zu, während er mit der von einem Ruijie AP ausgestrahlten SSID „Guest WiFi“ verbunden ist. Das Gästenetzwerk verwendet ein korrekt konfigures Captive Portal. Wie beheben Sie diese kritische Schwachstelle?

Hinweis: Authentifizierung und Netzwerksegmentierung sind zwei verschiedene Dinge. Das eine impliziert nicht das andere.

Musterlösung anzeigen

Das Captive Portal funktioniert korrekt, aber die VLAN-Isolierung fehlt oder ist fehlerhaft konfiguriert. Die Gäste-SSID leitet authentifizierte Benutzer in das Unternehmens-VLAN oder das native VLAN weiter, das Routing-Zugriff auf interne Server hat. Sie müssen: (1) ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf dem Core-Switch erstellen; (2) die Gäste-SSID im Ruijie-Controller dem VLAN 50 zuweisen; (3) die Switch-Ports, die die APs verbinden, als 802.1Q-Trunks konfigurieren, die VLAN 50 zulassen; (4) das Ruijie-Gateway so konfigurieren, dass das Routing zwischen VLAN 50 und allen Unternehmens-Subnetzen blockiert wird, sodass nur Internet-Datenverkehr aus dem Gäste-VLAN zugelassen wird. Authentifizierung und Netzwerksegmentierung sind unabhängige Kontrollmechanismen – beide müssen korrekt konfiguriert sein.

Q4. Bei Ihrer Ruijie-Bereitstellung ist Portal Escape aktiviert. Während eines geplanten Wartungsfensters auf den Purple RADIUS-Servern stellen Sie fest, dass Gäste ohne Authentifizierung auf das Internet zugreifen. Ist dies das erwartete Verhalten und welche Auswirkungen hat dies auf die Compliance?

Hinweis: Berücksichtigen Sie den Zweck von Portal Escape und Ihre GDPR-Verpflichtungen.

Musterlösung anzeigen

Ja, dies ist das erwartete Verhalten von Portal Escape. Wenn der Portal-Server nicht erreichbar ist, gibt Ruijie den Datenverkehr automatisch frei, um die Konnektivität aufrechtzuerhalten. Dies führt jedoch zu einer Compliance-Lücke: Benutzer greifen auf das Internet zu, ohne ihre Einwilligung zur Datenverarbeitung gegeben zu haben. Dies kann gegen GDPR-Anforderungen verstoßen, wenn Ihre Nutzungsbedingungen oder die Datenerfassung an das Authentifizierungsereignis gebunden sind. Für Standorte, an denen die Erfassung der Einwilligung eine rechtliche oder kommerzielle Anforderung ist, sollte Portal Escape deaktiviert werden. Planen Sie Wartungsarbeiten am RADIUS-Server in Zeiten minimaler Gästeaktivität und teilen Sie das Wartungsfenster dem Standortmanagement mit. Erwägen Sie die Implementierung eines sekundären Purple RADIUS-Servers als Failover, um dieses Szenario vollständig auszuschließen.