Alta Labs Integration mit Purple WiFi: Einrichtung und Captive Portal Konfiguration

Executive Summary

Die AP6 und AP6 Pro Access Points von Alta Labs lassen sich über Standard-RADIUS-Authentifizierung und HTTP-Weiterleitung in das Cloud-Captive Portal von Purple integrieren. Der AP fängt nicht authentifizierten Gast-Traffic ab, leitet ihn auf Ihre Purple-Splash-Page weiter und gewährt Zugriff, sobald der RADIUS-Server von Purple ein Access-Accept zurückgibt. Für Multi-Tenant-Umgebungen weist die AltaPass-Technologie von Alta Labs jedem verbundenen Gerät basierend auf dem verwendeten Passwort ein eindeutiges VLAN und eine Bandbreitenrichtlinie zu – ganz ohne zusätzliche SSIDs. Diese Anleitung bietet Ihnen die genauen Konfigurationsschritte, Walled-Garden-Domain-Listen und RADIUS-Parameter, um die Integration von Grund auf neu bereitzustellen. Purple ist an über 80.000 Live-Standorten im Einsatz und verzeichnete im Jahr 2024 440 Millionen Logins (interne Daten von Purple). Die Hardware von Alta Labs eignet sich hervorragend für MSPs und Smart-Office-Installateure, die eine Segmentierung auf Enterprise-Niveau zu einem wettbewerbsfähigen Preis benötigen.

Technische Architektur

Die Integration erstreckt sich über drei Ebenen: die Cloud-Management-Plattform von Alta Labs, die AP6- oder AP6-Pro-Hardware am Edge und die Cloud-Infrastruktur von Purple, die für Authentifizierung und Analysen zuständig ist.

Wenn sich ein Gast mit der offenen oder WPA3-OWE-SSID verbindet, versetzt der AP das Gerät in einen eingeschränkten Pre-Authentication-Zustand. Der gesamte ausgehende HTTP-Traffic wird abgefangen und an die URL der Purple-Splash-Page weitergeleitet. Das Gerät kann bis zum Abschluss der Authentifizierung nur Domains erreichen, die explizit im Walled Garden aufgeführt sind. Sobald der Gast seine Anmeldedaten auf der Purple-Splash-Page eingibt, sendet der RADIUS-Server von Purple ein Access-Accept an den AP, der die Einschränkung aufhebt und den vollen Internetzugang freigibt. Purple protokolliert die Sitzungsdaten – Gerätetyp, Verweildauer, Login-Methode – und stellt sie im WiFi Analytics -Dashboard zur Verfügung.

Für Mitarbeiter- und Back-of-House-Netzwerke übernimmt dieselbe AP-Hardware die WPA2/WPA3-Enterprise-Authentifizierung (IEEE 802.1X). Der AP fungiert als RADIUS-Client und leitet Authentifizierungsanfragen an die SecurePass-Infrastruktur von Purple weiter, die wiederum die Anmeldedaten mit Microsoft Entra ID, Okta oder Google Workspace abgleicht. Die RADIUS-Access-Accept-Antwort enthält das Attribut Tunnel-Private-Group-Id, mit dem der AP das Gerät dynamisch dem richtigen VLAN zuweist.

Implementierungsleitfaden

Schritt 1: Standort und Hardware in Purple hinzufügen

Bevor Sie den Alta Labs-Controller konfigurieren, registrieren Sie die Bereitstellung in Purple.

1. Melden Sie sich im Purple-Management-Portal an und navigieren Sie zu Management > Locations.
2. Wählen Sie Venues and Groups > Add venue und schließen Sie den Einrichtungsassistenten ab.
3. Wählen Sie an Ihrem Standort Hardware > Add hardware > Add new hardware.
4. Stellen Sie den Hardwaretyp auf WiFi AP ein und wählen Sie den entsprechenden AP-Typ aus.
5. Geben Sie die MAC-Adresse jedes Alta Labs AP6- oder AP6 Pro-Geräts ein.
6. Klicken Sie auf View Manual Online, um die IP-Adressen des RADIUS-Servers, die Ports und das Shared Secret für diesen Standort abzurufen. Notieren Sie diese Werte – Sie benötigen sie in Schritt 3.

Schritt 2: Gast-SSID in Alta Labs konfigurieren

Melden Sie sich auf der Cloud-Management-Plattform von Alta Labs unter manage.alta.inc an.

1. Navigieren Sie zu Settings > WiFi und wählen Sie die für den Gastzugang vorgesehene SSID aus.
2. In den Advanced Settings stellen Sie den Netzwerktyp auf Guest ein. Dadurch wird die Client-Isolierung automatisch erzwungen.
3. Scrollen Sie zum Bereich Hotspot und wählen Sie External.
4. Fügen Sie in das Feld Redirect URL die URL der Purple-Splash-Page ein, die in den Hardware-Einstellungen Ihres Standorts angegeben ist (z. B. https://region1.purpleportal.net/access/).
5. Geben Sie das Authorisation Secret (RADIUS Shared Secret) aus Ihren Purple-Standorteinstellungen ein.
6. Klicken Sie auf Save.

Schritt 3: RADIUS-Authentifizierung konfigurieren

Sobald die externe Weiterleitung eingerichtet ist, konfigurieren Sie die RADIUS-Einstellungen, damit der AP mit der Authentifizierungsinfrastruktur von Purple kommunizieren kann.

Konfigurieren Sie für Hochverfügbarkeitsbereitstellungen den sekundären RADIUS-Server mit der von Purple bereitgestellten Backup-IP-Adresse.

Schritt 4: Walled Garden definieren

Der Walled Garden lässt bestimmte Domains zu, bevor die Authentifizierung abgeschlossen ist. Fehlende Einträge unterbrechen den Ablauf des Captive Portals oder verhindern das Laden von Social Logins. Geben Sie die folgenden Domains in das Feld Additional Authorised Hosts / IPs in der Hotspot-Konfiguration von Alta Labs ein.

Purple-Infrastruktur (erforderlich)

Captive Portal-Prüfungen des Betriebssystems (erforderlich)

Social Login (je nach aktiviertem Anbieter hinzufügen)

AltaPass PPSK und Multi-Tenant-Segmentierung

AltaPass ist die zum Patent angemeldete Implementierung von Private Pre-Shared Keys (PPSK) von Alta Labs. Sie ermöglicht es, dass eine einzige SSID mehrere eindeutige Passwörter unterstützt, mit jedem Passwort, das einem eigenen VLAN, einer Bandbreitenbegrenzung, einem Zeitplan und einer Hotspot-Bypass-Regel zugeordnet ist. Dadurch entfällt die Notwendigkeit, separate SSIDs für jeden Mieter, jede Mitarbeitergruppe oder jede Gerätekategorie auszustrahlen.

Konfigurieren von AltaPass im Alta Labs Dashboard

1. Wählen Sie Ihre SSID aus und navigieren Sie zum Bereich für die Passwortverwaltung.
2. Klicken Sie auf die lila Schaltfläche für den Netzwerktyp links neben jedem Passworteintrag.
3. Weisen Sie dem Passwort eine VLAN-ID zu. Clients, die sich mit diesem Passwort verbinden, werden dem angegebenen VLAN-Subnetz zugewiesen.
4. Legen Sie bei Bedarf Bandbreitenbegrenzungen (Upload und Download) pro Passwort fest.
5. Aktivieren oder deaktivieren Sie den Hotspot-Bypass pro Passwort. IoT-Geräte und POS-Terminals umgehen in der Regel das Captive Portal.
6. Wenden Sie bei Bedarf Zeitplanbeschränkungen an (z. B. Einschränkung des Internetzugangs für bestimmte Geräte außerhalb der Geschäftszeiten).

Für ein Wohngebäude mit 72 Einheiten bedeutet dies eine einzige SSID und mehr als 72 eindeutige Passwörter – eines pro Einheit, eines für die Verwaltung und eines für das Gebäudeautomationssystem. Jedes Passwort ist einem isolierten VLAN und Subnetz zugeordnet. Bewohner im Standard-Tarif erhalten 100 Mbit/s. Premium-Bewohner erhalten 300 Mbit/s. Das Gebäudemanagement-Team ist unbeschränkt. IoT-Geräte werden in einem dedizierten VLAN mit aktivierter Deep Packet Inspection isoliert. Dies ist das Bereitstellungsmodell, das die Anzahl der SSIDs von 72 auf eine reduziert.

Dynamische VLAN-Zuweisung via RADIUS

Bei 802.1X-Mitarbeiternetzwerken erfolgt die VLAN-Zuweisung über RADIUS-Attribute anstelle von PPSK. Die RADIUS-Access-Accept-Antwort muss Folgendes enthalten:

Wichtig: Stellen Sie das Standard-VLAN auf der SSID auf VLAN 1 ein (oder lassen Sie es ungetaggt), wenn Sie RADIUS-zugewiesene VLANs verwenden. Wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist, überschreibt der AP möglicherweise die RADIUS-Zuweisung mit dem konfigurierten Standardwert. Dies ist ein bekanntes Verhalten in der aktuellen Firmware von Alta Labs.

Best Practices

Die folgenden Empfehlungen gelten für jede Alta Labs-Bereitstellung mit Purple, unabhängig von der Art des Standorts.

Nutzen Sie die dynamische DNS-Auflösung für Walled-Garden-Einträge. OAuth-Anbieter und CDNs rotieren IP-Adressen häufig. Eine statische IP-Whitelist verliert mit der Zeit an Gültigkeit. Konfigurieren Sie den Alta Labs-Controller so, dass er Walled-Garden-Domains dynamisch auflöst, und legen Sie eine DNS-TTL von mindestens 30 Sekunden fest, um eine übermäßige Abfragelast zu vermeiden.

Grenzen Sie den Walled Garden präzise ein. Setzen Sie nur die Domains auf die Whitelist, die für den Authentifizierungsfluss erforderlich sind. Zu großzügige Whitelists – insbesondere das Hinzufügen von Wildcard-Einträgen für große Domains – schaffen einen Bypass-Vektor, der den Zweck des Captive Portals untergräbt.

Testen Sie vor der Liveschaltung mit nicht authentifizierten Geräten. Verwenden Sie ein Gerät, das noch nie mit dem Netzwerk verbunden war. Zuvor authentifizierte Geräte verfügen möglicherweise über zwischengespeicherte MAC-Autorisierungen oder DNS-Einträge, die Fehler im Walled Garden maskieren. Gehen Sie jede Anmeldemethode durch, die Sie anbieten möchten.

Überprüfen Sie die Walled-Garden-Domains vierteljährlich. Apple, Google und Meta aktualisieren regelmäßig ihre OAuth-Domainstrukturen. Planen Sie eine vierteljährliche Überprüfung in Ihren Betriebskalender ein, um Abweichungen zu erkennen, bevor sie sich auf die Benutzer auswirken.

Segmentieren Sie IoT-Geräte von Anfang an. Verwenden Sie AltaPass, um IoT-Geräten ein dediziertes VLAN mit aktiviertem Hotspot-Bypass zuzuweisen. Die Vermischung von IoT-Traffic mit Gast- oder Mitarbeiter-Traffic birgt unnötige Risiken und erschwert die Reaktion auf Vorfälle.

Für einen umfassenderen Überblick über die WiFi-Sicherheitsarchitektur in Unternehmen lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

Fehlerbehebung und Risikominderung

Die Splash-Page wird unter iOS nicht angezeigt. Die häufigste Ursache ist ein fehlender captive.apple.com-Eintrag im Walled Garden. iOS verwendet diese Domain, um Captive Portals zu erkennen. Wenn die Abfrage blockiert wird, startet der Captive Network Assistant nicht und der Benutzer sieht einen allgemeinen Verbindungsfehler.

Der Social Login zeigt einen leeren Bildschirm oder einen CORS-Fehler. Überprüfen Sie den Walled Garden auf fehlende CDN- oder API-Subdomains. Die Einträge *.fbcdn.net von Facebook und gstatic.com von Google werden am häufigsten vergessen. Verwenden Sie die Entwicklertools des Browsers in einer nicht authentifizierten Sitzung, um festzustellen, welche Domain-Anfragen fehlschlagen.

Die VLAN-Zuweisung schlägt mit AltaPass fehl. Stellen Sie sicher, dass der vorgeschaltete Switch-Port, der mit dem AP verbunden ist, als Trunk-Port konfiguriert ist und die getaggten VLANs zulässt. Ein Switch-Port im Access-Modus verwirft getaggte Frames geräuschlos, sodass der Client keine IP-Adresse erhält.

Timeout bei der RADIUS-Authentifizierung. Stellen Sie sicher, dass die UDP-Ports 1812 und 1813 in der Edge-Firewall für ausgehenden Datenverkehr geöffnet sind. Überprüfen Sie, ob das Shared Secret in der Alta Labs-Konfiguration exakt mit dem Wert in den Purple-Standorteinstellungen übereinstimmt – bereits eine Abweichung von einem einzigen Zeichen führt dazu, dass alle Authentifizierungsanfragen fehlschlagen.

Die dynamische VLAN-Zuweisung weist Benutzer dem falschen VLAN zu. Stellen Sie das Standard-VLAN auf der 802.1X-SSID auf VLAN 1 ein. Wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist, überschreibt der AP möglicherweise das vom RADIUS zugewiesene VLAN. Dies ist ein Verhalten auf Firmware-Ebene, das im Alta Labs-Community-Forum bestätigt wurde.

ROI und geschäftliche Auswirkungen

Die Bereitstellung von Alta Labs-Hardware mit Purple Guest WiFi liefert messbare Erträge in drei Dimensionen: betriebliche Effizienz, Datenerfassung und Sicherheitsniveau.

Auf der betrieblichen Seite reduziert die Konsolidierung mehrerer SSIDs in einem einzigen, von AltaPass verwalteten Netzwerk den Verwaltungsaufwand und verbessert die Wireless-Leistung. Weniger SSIDs bedeuten weniger Beacon-Frame-Overhead, was sich direkt in einem höheren Durchsatz für alle verbundenen Geräte niederschlägt.

Auf der Datenseite erfasst das Captive Portal von Purple bei jeder Anmeldung verifizierte First-Party-Daten. Standorte, die die Capture- und Engage-Tarife von Purple nutzen, berichten von einer Steigerung der Opt-ins in die Marketing-Datenbank um 40 % im Vergleich zu unmanaged Guest WiFi (interne Daten von Purple). Diese Daten f...fließt direkt in WiFi Analytics ein und bietet Marketingteams Einblick in Besucherströme, Verweildauer und Wiederkehrraten.

Auf der Sicherheitsseite isoliert die dynamische VLAN-Zuweisung den Datenverkehr von Gästen, Mitarbeitern und IoT am Edge. In Kombination mit der ISO-27001-zertifizierten Infrastruktur von Purple und der GDPR-konformen Datenverarbeitung erfüllt diese Architektur die Anforderungen der PCI-DSS-Netzwerksegmentierung für Standorte, die Kartenzahlungen verarbeiten.

Speziell für Implementierungen im Gastgewerbe schafft die Kombination aus gebrandeten Splash-Pages, Integrationen von Treueprogrammen und Bandbreitenbegrenzungen pro Gerät ein differenziertes Gästeerlebnis, ohne das Netzwerkbetriebsteam zusätzlich zu belasten.

In Einzelhandelsumgebungen erübrigt die Möglichkeit, POS-Terminals über dieselbe physische Infrastruktur vom Gäste-WiFi zu trennen – mithilfe von AltaPass-Bypass-Regeln –, eine separate Verkabelung oder Hardware, was sowohl die Investitions- als auch die Betriebskosten senkt.

Ähnliche Leitfäden: Arista Cognitive Wi-Fi Integration mit Purple WiFi | Walled-Garden-Konfiguration für Gäste-WiFi