OpenWrt Custom Firmware Integration mit Purple WiFi

Executive Summary

OpenWrt ist die bevorzugte Firmware für IT-Teams, die Hardware-Unabhängigkeit benötigen, ohne auf Kontrolle der Enterprise-Klasse verzichten zu müssen. Sie wird im Gastgewerbe, im Einzelhandel und in öffentlichen Einrichtungen eingesetzt und bietet einen vollständig konfigurierbaren Linux-basierten Netzwerk-Stack. Doch standardmäßig ist OpenWrt ein unbeschriebenes Blatt. Ohne eine strukturierte Identitätsebene werden Gastnetzwerke unüberschaubar, Mitarbeiternetzwerke bleiben unsicher und mandantenfähige Umgebungen fallen in ein einziges flaches Netzwerk zusammen.

Dieses Handbuch bietet das definitive Integrations-Playbook für die Anbindung von OpenWrt an die Cloud-RADIUS- und Captive Portal-Plattform von Purple. Wir behandeln vier verschiedene Bereitstellungsszenarien: die Weiterleitung zum Gast-Captive Portal mittels CoovaChilli, die Konfiguration des iptables Walled Garden, sicheres Mitarbeiter-WiFi über hostapd mit IEEE 802.1X sowie die mandantenfähige Segmentierung mittels Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Zuweisung. Am Ende verfügen Sie über die genauen Konfigurationsparameter, die häufigsten Fehlermuster und die Entscheidungsrahmen, die für die Bereitstellung eines produktionsbereiten, GDPR-konformen, identitätsgesteuerten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple, 2024). Die hier beschriebene Architektur ist dieselbe, die in großem Umfang in Hotelketten, Einzelhandelsflächen und Verkehrsknotenpunkten eingesetzt wird.

Technischer Deep-Dive

Die CoovaChilli Captive Portal-Architektur

Bei der Bereitstellung von Gast-WiFi auf OpenWrt ist CoovaChilli der Branchenstandard-Access-Controller. Er fungiert als Captive Portal-Daemon, der nicht authentifizierten Client-Traffic abfängt, IP-Adressen über seinen internen DHCP-Server auf der virtuellen Schnittstelle tun0 bereitstellt und Walled-Garden-Richtlinien mithilfe von direkt verwalteten iptables-Regeln durchsetzt.

Der Authentifizierungsablauf funktioniert wie folgt. Ein Gastgerät verbindet sich mit der offenen SSID. CoovaChilli weist dem Gerät eine IP-Adresse aus seinem internen Pool zu (typischerweise 10.1.0.0/24). Wenn das Gerät seine erste HTTP-Anfrage sendet, fängt CoovaChilli diese ab und führt eine HTTP-302-Weiterleitung zur URL der Purple-Begrüßungsseite (Splash Page) durch. Während dieser Vorauthentifizierungsphase ist das Gerät isoliert – es kann nur die explizit im Walled Garden aufgeführten Domains erreichen.

Sobald sich der Gast im Purple-Portal authentifiziert, sendet der Cloud-RADIUS-Server von Purple eine Access-Accept-Nachricht an CoovaChilli auf UDP-Port 1812. CoovaChilli aktualisiert daraufhin seine iptables-Regeln, um den Internetzugang für diese spezifische MAC-Adresse zuzulassen, und beginnt mit der Übertragung von Accounting-Daten (Sitzungsdauer, übertragene Bytes) an den Purple RADIUS-Accounting-Server auf UDP-Port 1813. Accounting ist nicht optional – es ist der Mechanismus, mit dem Purple Ihr WiFi Analytics -Dashboard mit Sitzungsdaten füllt.

Walled Garden: iptables und Domain-Allowlists

Der Walled Garden ist das betrieblich kritischste Konfigurationselement in jeder Captive Portal-Bereitstellung. CoovaChilli verwaltet den Walled Garden über zwei Mechanismen: den Parameter uamallowed für einzelne IP-Adressen und den Parameter uamdomains für die domänenbasierte Freigabe (Allowlisting) mit DNS-Inspektion.

Für eine Purple-Integration sind die folgenden Walled-Garden-Einträge mindestens erforderlich:

Hinweis zur Apple CNA-Verwaltung: Wenn Sie captive.apple.com in den Walled Garden aufnehmen, iOS-Geräte die Internetverbindung vor der Authentifizierung erkennen und das Captive Network Assistant-Popup unterdrücken. Die meisten Bereitstellungen im Gastgewerbe schließen diese Domain bewusst aus, um den automatischen Portal-Aufruf auszulösen. Die richtige Wahl hängt von der Gestaltung Ihres Gäste-Erlebnisses ab.

Sicheres Mitarbeiter-WiFi: hostapd und IEEE 802.1X

Gastnetzwerke erfordern ein reibungsloses Onboarding. Mitarbeiternetzwerke erfordern absolute Sicherheit. Für interne Benutzer verwendet OpenWrt hostapd, um die IEEE 802.1X-Authentifizierung zu ermöglichen. In dieser Architektur fungiert der OpenWrt-Access-Point als Authentifikator, der EAP-Nachrichten (Extensible Authentication Protocol) zwischen dem Client-Gerät (Supplicant) und dem Purple RADIUS-Server weiterleitet.

Für Unternehmensgeräte ist EAP-TLS der vorgeschriebene Standard. Es basiert auf einer gegenseitigen Zertifikatsauthentifizierung – sowohl der Server als auch das Client-Gerät weisen digitale Zertifikate vor –, wodurch Passwörter und die damit verbundenen Risiken von Diebstahl von Anmeldedaten oder Phishing vollständig eliminiert werden. Für Umgebungen, die noch nicht für eine vollständige Public-Key-Infrastruktur (PKI) bereit sind, bietet PEAP-MSCHAPv2 eine angemessene Übergangsoption, bei der ein verschlüsselter Tunnel zum Schutz von Benutzernamen und Passwörtern verwendet wird.

Nach erfolgreicher Authentifizierung eines Mitarbeiters gibt der RADIUS-Server Autorisierungsattribute zurück. Das Schlüsselattribut für die Netzwerksegmentierung ist Tunnel-Private-Group-ID, das OpenWrt anweist, den Benutzer dynamisch dem richtigen VLAN zuzuweisen. Dies ist der Mechanismus hinter identitätsbasierten Netzwerken: Die Identität des Benutzers, nicht sein physischer Standort, bestimmt seinen Netzwerkzugriff.

Mandantenfähige Segmentierung: OpenWrt PPSK Konfiguration

In Multi-Tenant-Umgebungen – Coworking-Spaces, Build-to-Rent-Immobilien (BTR), Einkaufszentren mit mehreren Anbietern oder Stadien mit separaten Sponsorenzonen – ist das Ausstrahlen mehrerer SSIDs betrieblich teuer und HF-ineffizient. Jede zusätzliche SSID erhöht den Overhead für Management-Frames und reduziert die verfügbare Sendezeit für den Datenverkehr.

Private Pre-Shared Keys (PPSK), manchmal auch als dynamische PSK bezeichnet, lösen dieses Problem. Sie strahlen eine einzige SSID aus. Wenn ein Gerät versucht, eine Verbindung herzustellen, sendet hostapd die MAC-Adresse des Geräts über einen Standard-Access-Request an den RADIUS-Server. Der RADIUS-Server gleicht die MAC-Adresse mit seiner Datenbank ab und gibt ein Access-Accept zurück, das zwei kritische Attribute enthält: das Attribut Tunnel-Password (das eindeutige Passwort für dieses Gerät) und das Attribut Tunnel-Private-Group-ID (die VLAN-Zuweisung). Das Gerät verbindet sich mit seinem eindeutigen Passwort und wird direkt dem zugewiesenen VLAN zugeordnet.

Das bedeutet, dass sich ein Filialleiter und ein Event-Teilnehmer mit derselben SSID verbinden können, aber basierend auf ihrer eindeutigen Identität an völlig separate, isolierte Netzwerke weitergeleitet werden.

Implementierungsleitfaden

Schritt 1: Purple RADIUS-Anmeldedaten abrufen

Bevor Sie die OpenWrt-Konfiguration ändern, rufen Sie die folgenden Informationen aus der Admin-Konsole des Purple-Portals ab:

• IP-Adresse des primären RADIUS-Servers
• IP-Adresse des sekundären RADIUS-Servers (für Failover)
• RADIUS Shared Secret
• Captive Portal Splash-Page-URL
• Weiterleitungs-URL nach der Authentifizierung

Schritt 2: CoovaChilli für Gast-WiFi installieren und konfigurieren

Installieren Sie das Paket coova-chilli über opkg:

opkg update && opkg install coova-chilli

Die primäre Konfigurationsdatei ist /etc/chilli/defaults. Definieren Sie die Kernnetzwerkparameter:

# Netzwerkschnittstellen
HS_WANIF=eth0           # Upstream-Internetschnittstelle
HS_LANIF=wlan0          # Die Gast-WiFi-Schnittstelle (oder eine VLAN-Subschnittstelle)

# Gast-Subnetz
HS_NETWORK=10.10.20.0
HS_NETMASK=255.255.255.0
HS_UAMLISTEN=10.10.20.1 # IP von CoovaChilli im Gastnetzwerk
HS_UAMPORT=3990

# Purple RADIUS-Integration
HS_RADIUS=
HS_RADIUS2=
HS_RADSECRET=
HS_NASID=venue-openwrt-01

# Purple Splash-Page
HS_UAMSERVER=

# Walled Garden – domänenbasierte Whitelist
HS_UAMDOMAINS=".purple.ai,.googleapis.com,.gstatic.com,.facebook.com,.fbcdn.net"

Aktivieren und starten Sie den Dienst:

/etc/init.d/chilli enable
/etc/init.d/chilli start

Schritt 3: Konfigurieren Sie die drahtlose OpenWrt-Schnittstelle für die Gast-SSID

Definieren Sie in /etc/config/wireless die Gast-SSID als offenes Netzwerk, das an die von CoovaChilli verwaltete Schnittstelle gebunden ist:

config wifi-iface 'guest_wifi'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'Venue_Guest'
    option encryption 'none'
    option isolate '1'

Die Client-Isolierung (isolate '1') verhindert, dass Gastgeräte untereinander kommunizieren – eine zwingend erforderliche Sicherheitsmaßnahme für jedes gemeinsam genutzte Netzwerk.

Schritt 4: hostapd für 802.1X Mitarbeiter-WiFi konfigurieren

Konfigurieren Sie für die Mitarbeiter-SSID WPA2-Enterprise in /etc/config/wireless:

config wifi-iface 'staff_wifi'
    option device 'radio0'
    option network 'staff_vlan10'
    option mode 'ap'
    option ssid 'Venue_Staff'
    option encryption 'wpa2'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option vlan_bridge 'br-vlan'
    option vlan_naming '0'

Die Einstellung dynamic_vlan '2' weist hostapd an, die vom RADIUS-Server zurückgegebene VLAN-Zuweisung zu erzwingen und die Authentifizierung abzulehnen, wenn kein VLAN zurückgegeben wird.

Paketanforderung: Das Standardpaket wpad-mini unterstützt kein WPA2-Enterprise. Sie müssen wpad oder wpad-openssl installieren:

opkg remove wpad-mini && opkg install wpad-openssl

Schritt 5: PPSK für Multi-Tenant-Segmentierung konfigurieren

PPSK erfordert, dass hostapd eine MAC-Adressen-Authentifizierung gegenüber dem RADIUS-Server durchführt, der dann das gerätespezifische Passwort zurückgibt. In /etc/config/wireless:

config wifi-iface 'ppsk_ssid'
    option device 'radio0'
    option mode 'ap'
    option ssid 'Venue_Connect'
    option encryption 'psk2'
    option key 'default_fallback_key'
    option macfilter 'radius'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option wpa_psk_radius '2'

Der Parameter wpa_psk_radius '2' weist hostapd an, das Attribut Tunnel-Password aus der RADIUS-Antwort zu verlangen. Wenn der RADIUS-Server kein Passwort zurückgibt, wird die Authentifizierung abgelehnt.

Auf der Seite von Purple RADIUS ordnet der Abschnitt authorize Ihrer FreeRADIUS-Konfiguration (oder einer entsprechenden Konfiguration) MAC-Adressen Passwörtern und VLAN-IDs zu:

# Beispiel für einen RADIUS-Autorisierungseintrag für PPSK
AA:BB:CC:DD:EE:FF   Auth-Type := Accept
    Tunnel-Password = "GuestPass2024",
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-ID = "20"

Schritt 6: Dynamische VLAN-Zuweisung konfigurieren

Damit die dynamische VLAN-Zuweisung funktioniert, muss Ihr OpenWrt-Switch so konfiguriert sein, dass er die relevanten VLANs als getaggten Datenverkehr auf dem Trunk-Port überträgt, der mit Ihrem Core-Switch verbunden ist. In /etc/config/network:

config interface 'vlan10'
    option ifname 'eth0.10'
    option proto 'dhcp'

config interface 'vlan20'
    option ifname 'eth0.20'
    option proto 'dhcp'

config interface 'vlan30'
    option ifname 'eth0.30'
    option proto 'dhcp'

Stellen Sie sicher, dass Ihr Core-Switch-Port als Trunk konfiguriert ist und die VLANs 10, 20 und 30 getaggt weiterleitet.

Best Practices

Absolute Netzwerktrennung. Überbrücken Sie niemals gGast-Schnittstellen mit internen Netzwerken. Der Gast-Traffic muss auf einem dedizierten VLAN isoliert und direkt an die Internet-Firewall geleitet werden. Dies ist eine unverhandelbare Anforderung für die PCI-DSS-4.0-Compliance, die vorschreibt, dass Gast-WiFi-Netzwerke vollständig von allen Netzwerksegmenten isoliert sein müssen, die Karteninhaberdaten verarbeiten.

Präzision des Walled Garden. Ein unvollständiger Walled Garden ist die Hauptursache für Fehler beim Captive Portal. Verwenden Sie die Entwicklertools Ihres Browsers auf einem Testgerät, das mit der Gast-SSID verbunden ist, um zu identifizieren, welche Anfragen vor der Authentifizierung blockiert werden. Jede blockierte Domain ist ein potenzieller Portal-Fehler.

RADIUS-Accounting-Intervalle. Konfigurieren Sie das CoovaChilli-Accounting-Interimsintervall auf 120 Sekunden. Dies liefert Sitzungsdaten in Fast-Echtzeit im Purple-Analytics-Dashboard, ohne übermäßigen RADIUS-Traffic zu erzeugen.

Sekundärer RADIUS-Server. Konfigurieren Sie immer HS_RADIUS2 in Ihrer CoovaChilli-Konfiguration. Wenn der primäre Purple-RADIUS-Server nicht erreichbar ist, schlägt die Authentifizierung neuer Sitzungen durch CoovaChilli fehl. Der sekundäre Server bietet ein automatisches Failover, ohne dass eine Konfigurationsänderung am Access Point erforderlich ist.

Paketauswahl. Das Paket wpad-mini, das in vielen OpenWrt-Builds enthalten ist, unterstützt weder WPA2-Enterprise noch die dynamische VLAN-Zuweisung. Installieren Sie für jede Bereitstellung, die 802.1X oder PPSK erfordert, immer wpad-openssl.

Weitere Informationen zur WiFi-Sicherheitsarchitektur für Unternehmen finden Sie in unserem Leitfaden Enterprise-WiFi-Sicherheit: Ein vollständiger Leitfaden für 2026 .

Fehlerbehebung & Risikominderung

Hinweis zur GDPR-Compliance: CoovaChilli selbst erfasst oder speichert keine personenbezogenen Daten. Alle Mechanismen zur Einholung von Einwilligungen, zur Datenverarbeitung und zur GDPR-Compliance werden von der Purple-Plattform auf der Portal-Ebene abgewickelt. Stellen Sie vor der Live-Schaltung sicher, dass Ihr Purple-Portal mit den Allgemeinen Geschäftsbedingungen und den Datenschutzhinweisen Ihres Standorts konfiguriert ist.

Für verwandte Hardware-Integrationsmuster lesen Sie unsere Leitfäden zu EnGenius Cloud Access Points Integration mit Purple WiFi und DrayTek Vigor Routern und Access Points Integration mit Purple WiFi .

ROI & geschäftliche Auswirkungen

Der Übergang von einfachen PSK-Netzwerken zu einer von Purple verwalteten OpenWrt-Architektur liefert messbare Ergebnisse in drei Dimensionen.

Datenerfassung und Marketing. Durch die Erzwingung der Captive Portal-Authentifizierung erfassen Standorte konforme First-Party-Demografiedaten – Namen, E-Mail-Adressen, soziale Profile – am Punkt der WiFi-Verbindung. Diese Daten fließen direkt in CRM- und E-Mail-Marketing-Plattformen ein, was die Anmeldungen für Treueprogramme fördert und zielgerichtete Kampagnen ermöglicht. Purple hat im Jahr 2024 440 Millionen Logins verarbeitet (interne Daten von Purple), was das Ausmaß der First-Party-Datenerfassung zeigt, die am Edge-Bereich des Netzwerks möglich ist.

Operative Effizienz. Die Implementierung von PPSK reduziert den SSID-Overhead und verbessert die WiFi-Leistung in dichten Umgebungen. Für eine Einzelhandelskette mit 200 Standorten spart die zentrale Identitätsverwaltung über den Cloud-RADIUS von Purple – anstatt die lokalen Router-Konfigurationen an jedem Standort zu aktualisieren – jährlich Hunderte von Technikerstunden. Eine einzige Änderung der RADIUS-Richtlinie wird sofort auf alle 200 Standorte übertragen.

Sicherheit und Compliance. Die dynamische VLAN-Zuweisung setzt das Prinzip der minimalen Rechtevergabe (Least Privilege) am Edge-Bereich durch. Mitarbeiter werden von Gästen isoliert. IoT-Geräte werden von Mitarbeitern isoliert. POS-Terminals werden von allen anderen Datenströmen isoliert. Diese Segmentierung erfüllt die Anforderungen von PCI DSS 4.0 zur Netzwerktrennung und bietet eine klare, überprüfbare Netzwerktopologie für GDPR-Compliance-Prüfungen.

Für branchenspezifische Bereitstellungsmuster lesen Sie unsere Leitfäden für Umgebungen in den Bereichen Einzelhandel , Hotellerie , Gesundheitswesen und Transportwesen . Möglicherweise finden Sie auch unseren Leitfaden Was ist Wireless Display: Protokolle & Best Practices 2026 nützlich, um ergänzende drahtlose Technologien bei Standort-Bereitstellungen zu verstehen.