Zum Hauptinhalt springen
Deutsch

Integration von NETGEAR Insight und Enterprise Access Points mit Purple WiFi

Dieser Leitfaden bietet IT-Managern eine definitive technische Roadmap für die Integration von NETGEAR Insight und WAX Enterprise Access Points mit Purple WiFi. Er deckt wesentliche Konfigurationen ab, darunter Guest Captive Portals, 802.1X-Mitarbeiternetzwerke und Multi-Tenant-Segmentierung mittels PPSK und dynamischer VLAN-Zuweisung.

📖 6 Min. Lesezeit📝 1,295 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen beim Technical Briefing von Purple. Heute behandeln wir ein Thema, das in unseren Gesprächen mit IT-Managern und Netzwerkarchitekten in der Hotellerie, im Einzelhandel und an Multi-Tenant-Standorten ständig zur Sprache kommt: die Integration von NETGEAR Insight und Access Points der WAX-Serie mit Purple WiFi. Wenn Sie ein Hotel, ein Fachmarktzentrum, ein Konferenzzentrum oder eine gemischt genutzte Immobilie betreiben, ist dieses Briefing direkt für Ihre nächste Bereitstellungsentscheidung relevant. Betrachten wir zunächst die Ausgangslage. Die WAX-Serie von NETGEAR – WAX610, WAX620 und WAX630 – sind WiFi 6 Access Points, die über die Insight-Cloud-Plattform verwaltet werden. Sie unterstützen bis zu acht separate SSIDs pro Funkmodul, WPA3-Verschlüsselung und einen Durchsatz von bis zu sechs Gigabit beim WAX630. Sie sind PoE-betrieben, für die Deckenmontage geeignet und werden über eine zentrale Benutzeroberfläche im Insight Cloud Portal verwaltet. Für einen IT-Installateur oder KMU-Netzwerkadministrator ist dies eine äußerst leistungsfähige Plattform zu einem Preis, der deutlich unter dem Niveau von Cisco Meraki oder HPE Aruba liegt. Purple ist ein hardwareunabhängiges Cloud-Overlay. Wir setzen auf Ihrer bestehenden Infrastruktur auf und fügen die Ebene für das Gasterlebnis, die Datenerfassung und die Analysen hinzu. Wir haben im Jahr 2024 440 Millionen Logins an 80.000 aktiven Standorten verarbeitet. Die Integration mit NETGEAR Insight ist sauber und gut dokumentiert und deckt vier verschiedene Anwendungsfälle ab, die wir heute durchgehen werden. Kommen wir nun zum technischen Deep-Dive. Die vier Anwendungsfälle sind: Guest WiFi mit einem Purple Captive Portal, sicheres Mitarbeiter-WiFi mittels 802.1X, Multi-Tenant-Segmentierung über die PPSK-Funktion von NETGEAR und dynamische VLAN-Zuweisung via RADIUS für Identity-Based Networks. Anwendungsfall eins: Guest WiFi mit einem Purple Captive Portal. Dies ist der häufigste Ausgangspunkt. Sie erstellen eine dedizierte Guest SSID in NETGEAR Insight und konfigurieren sie als offenes Netzwerk. Die wichtigste Konfiguration befindet sich im Bereich Captive Portal der SSID-Einstellungen. Sie wählen 'External Captive Portal' und fügen die von Purple bereitgestellte Splash-Page-URL ein. Als Nächstes konfigurieren Sie den Authentifizierungstyp. Für die meisten Purple-Bereitstellungen wählen Sie die RADIUS-Authentifizierung. Purple stellt Ihnen eine primäre RADIUS-Server-IP-Adresse, Port 1812 für die Authentifizierung und Port 1813 für das Accounting sowie ein Shared Secret zur Verfügung. Diese tragen Sie in die Konfiguration des externen Captive Portals in NETGEAR Insight ein. Sie legen außerdem einen NAS-Identifier fest – eine Zeichenfolge, die diesen spezifischen Access Point oder Standort gegenüber dem RADIUS-Server identifiziert. Verwenden Sie einen aussagekräftigen Namen, z. B. Ihren Standortnamen und den Standortcode. Der Walled Garden ist der Punkt, an dem die meisten Installateure scheitern. Bevor sich ein Gast authentifiziert, muss sein Gerät in der Lage sein, die Purple Splash-Page, die Authentifizierungsserver und alle von Ihnen aktivierten Social-Login-Anbieter zu erreichen. NETGEAR Insight verfügt über einen dedizierten Walled-Garden-Bereich in der Konfiguration des externen Captive Portals, in dem Sie diese URLs hinzufügen. Die Support-Dokumentation von Purple enthält die genaue Liste der freizugebenden Domains. Wenn Sie hier einen Fehler machen, sehen die Gäste anstelle Ihres gebrandeten Portals eine leere Seite. Nach der Konfiguration sieht der Ablauf wie folgt aus: Ein Gast verbindet sich mit der Hotel-Guest-SSID. Der Access Point fängt seine erste HTTP-Anfrage ab und leitet ihn auf die Purple Splash-Page weiter. Der Gast sieht Ihr gebrandetes Portal, akzeptiert die Bedingungen und gibt optional seine E-Mail-Adresse an oder meldet sich über soziale Medien an. Der RADIUS-Server von Purple sendet eine Access-Accept-Nachricht an den Access Point zurück, und dem Gast wird Internetzugang gewährt. Purple erfasst die Einwilligungsdaten, protokolliert die Sitzung und diese Daten fließen in Ihr Purple-Analyse-Dashboard. Anwendungsfall zwei: Sicheres Mitarbeiter-WiFi mittels 802.1X. Hier verabschieden Sie sich vollständig von gemeinsam genutzten Passwörtern. Für Mitarbeiternetzwerke ist ein Pre-Shared Key ein Sicherheitsrisiko – wenn ein Mitarbeiter das Unternehmen verlässt, müssen Sie das Passwort für alle ändern. 802.1X, definiert im IEEE-802.1X-Standard, gibt jedem Benutzer individuelle Anmeldedaten. Wenn sie das Unternehmen verlassen, deaktivieren Sie ihr Konto in Ihrem Verzeichnis, und ihr Zugriff wird sofort entzogen. In NETGEAR Insight konfigurieren Sie eine separate Staff SSID mit WPA2 Enterprise- oder WPA3 Enterprise-Sicherheit. Dies weist den Access Point an, die 802.1X-Authentifizierung anstelle eines Pre-Shared Keys zu verwenden. Anschließend konfigurieren Sie die RADIUS-Server-Einstellungen auf Netzwerkstandort-Ebene. Gehen Sie zu den Netzwerkstandort-Einstellungen, wählen Sie RADIUS, aktivieren Sie die 802.1X-Zugriffsauthentifizierung und geben Sie die IP, den Port und das Shared Secret Ihres RADIUS-Servers ein. Das Standard-Reauthentifizierungsintervall beträgt 3.600 Sekunden – eine Stunde –, was für die meisten Standorte ein sinnvoller Ausgangspunkt ist. Die am häufigsten verwendete EAP-Methode in KMU-Bereitstellungen ist PEAP-MSCHAPv2, die ein serverseitiges Zertifikat verwendet, um einen verschlüsselten Tunnel zu erstellen, in dem sich der Benutzer mit seinem Active Directory-Benutzernamen und -Passwort authentifiziert. EAP-TLS ist sicherer – es verwendet Zertifikate auf beiden Seiten –, erfordert jedoch eine PKI-Infrastruktur und MDM, um Zertifikate auf die Geräte zu übertragen. Ein kritischer Punkt: Erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Konfigurieren Sie Ihre Windows-Geräte über Gruppenrichtlinienobjekte und Ihre Mobilgeräte über MDM-Profile so, dass sie das Zertifikat des RADIUS-Servers validieren. Wenn Sie diesen Schritt überspringen, sind die Geräte anfällig für Rogue-Access-Point-Angriffe, bei denen ein Angreifer ein gefälschtes Zertifikat präsentiert und Anmeldedaten abfängt. Anwendungsfall drei: NETGEAR PPSK für Multi-Tenant-Standorte. Private Pre-Shared Key löst ein spezifisches Problem in Fachmarktzentren, gemischt genutzten Immobilien und Co-Working-Spaces. Sie haben mehrere Mieter, die sich dieselbe physische WiFi-Infrastruktur teilen. Sie möchten nicht für jeden Mieter separate SSIDs betreiben – das führt zu Hochfrequenz-Überlastung und erhöht die Verwaltungskomplexität. Sie können aber auch nicht allen dasselbe Passwort geben, da Mieter A sonst den Datenverkehr von Mieter B einsehen könnte. PPSK löst dies elegant. Sie erstellen eine einzige SSID und generieren in NETGEAR Insight unter Wireless, Einstellungen, Erweitert, Multi-PSK-Einstellungen mehrere Pre-Shared Keys. Jeder Schlüssel ist einem bestimmten VLAN zugeordnet. Mieter A erhält ein eindeutiges 16-stelliges Passwort, das VLAN 30 zugewiesen ist. Mieter B erhält ein anderes Passwort, das VLAN 40 zugewiesen ist. Das Standort-Management-Team erhält ein drittes Passwort, das VLAN 20 zugewiesen ist, welches Zugriff auf die Verwaltungssysteme hat. Wenn sich die Geräte von Mieter A mit ihrem Passwort verbinden, weist der Access Point sie automatisch VLAN 30 zu. Sie können keinen Datenverkehr auf VLAN 40 oder VLAN 20 sehen. Aus Sicht des Mieters haben sie einfach ein WiFi-Passwort. Aus Ihrer Sicht als Netzwerkadministrator haben Sie eine vollständige Isolation des Datenverkehrs zwischen den Mietern ohne zusätzliche Hardware. Es gibt zwei wichtige Einschränkungen, die Sie kennen sollten. Erstens erfordert PPSK in NETGEAR Insight eine WPA2 Personal- oder WPA2 Personal Mixed-Verschlüsselung. Es funktioniert nicht im 6-GHz-Band. Zweitens kann PPSK nicht mit einem Captive Portal auf derselben SSID kombiniert werden. Wenn Sie beides benötigen, brauchen Sie zwei separate SSIDs – was kein Problem ist, da die Access Points der WAX-Serie bis zu acht unterstützen. Anwendungsfall vier: Dynamische VLAN-Zuweisung via RADIUS. Dies ist die anspruchsvollste Konfiguration und die Grundlage für die Identity-Based Networks-Funktion von Purple. Anstatt ein VLAN statisch einem Passwort oder einer SSID zuzuweisen, lassen Sie den RADIUS-Server entscheiden, welches VLAN basierend auf der Identität des sich authentifizierenden Benutzers zugewiesen wird. Der Mechanismus verwendet drei Standard-RADIUS-Attribute: Tunnel-Type, das für VLAN auf den Wert 13 gesetzt werden muss; Tunnel-Medium-Type, das für IEEE 802 auf den Wert 6 gesetzt werden muss; und Tunnel-Private-Group-ID, das die VLAN-ID als Zeichenfolge enthält. Wenn sich ein Benutzer erfolgreich authentifiziert, gibt der RADIUS-Server diese drei Attribute in der Access-Accept-Nachricht zurück. Der Access Point liest sie aus und stuft den Client in das angegebene VLAN ein. In der Praxis bedeutet dies, dass Sie eine einzige WPA2 Enterprise SSID haben können, bei der sich ein Hotelmanager authentifiziert und in VLAN 20 mit Zugriff auf die Hotelmanagementsysteme landet, ein Mitarbeiter an der Rezeption sich authentifiziert und in VLAN 21 mit Zugriff nur auf das Check-in-System landet und ein externer Dienstleister sich authentifiziert und in VLAN 50 mit reinem Internetzugang landet. Alles über dieselbe SSID, alles automatisch vom RADIUS-Server basierend auf der Active Directory-Gruppenmitgliedschaft erzwungen. Lassen Sie uns nun über Implementierungsempfehlungen und Fallstricke sprechen. Der erste Fallstrick ist der Walled Garden. Jede externe Captive Portal-Bereitstellung scheitert mindestens einmal am Walled Garden. Das Symptom ist, dass sich Gäste mit der SSID verbinden, aber einen Browserfehler anstelle der Splash-Page sehen. Die Lösung ist methodisch: Öffnen Sie die Support-Dokumentation von Purple, kopieren Sie jede Domain in der Walled-Garden-Liste und fügen Sie sie in den Walled-Garden-Bereich von NETGEAR Insight ein. Testen Sie mit einem Gerät, das keine zwischengespeicherten Anmeldedaten besitzt. Der zweite Fallstrick ist die RADIUS-Erreichbarkeit. Der NETGEAR Access Point muss Ihren RADIUS-Server erreichen können. RADIUS verwendet den UDP-Port 1812 für die Authentifizierung und den UDP-Port 1813 für das Accounting. Öffnen Sie diese Ports von der Management-IP des Access Points zur IP des RADIUS-Servers. Testen Sie dies mit einem RADIUS-Testtool, bevor Sie live gehen. Der dritte Fallstrick ist der Konflikt zwischen PPSK und Captive Portal. NETGEAR Insight erlaubt PPSK und Captive Portal nicht auf derselben SSID. Wenn Sie beides benötigen, erstellen Sie zwei SSIDs. Benennen Sie diese eindeutig – eine für die PPSK-Mieter und eine für die Captive Portal-Gäste. Der vierte Fallstrick ist die Zertifikatsvalidierung auf 802.1X-Clients. Jedes Windows-Gerät benötigt ein Gruppenrichtlinienobjekt, das die vertrauenswürdige Zertifizierungsstelle und den erwarteten RADIUS-Servernamen angibt. Jedes Mobilgerät benötigt ein MDM-Profil mit denselben Einstellungen. Ohne dies könnte sich ein Benutzer unwissentlich an einem Rogue-Access-Point authentifizieren und seine Active Directory-Anmeldedaten preisgeben. Kommen wir nun zu einer schnellen Fragerunde. Frage eins: Kann ich Purple mit NETGEAR Insight ohne einen RADIUS-Server verwenden? Ja, für Guest Captive Portal-Bereitstellungen können Sie den Web-Authentifizierungsmodus von Purple anstelle von RADIUS verwenden. Der Access Point leitet über HTTP auf die Splash-Page weiter, und Purple übernimmt die Authentifizierung über eine Websitzung. RADIUS bietet Ihnen mehr Kontrolle und bessere Accounting-Daten, ist aber für einfache Guest Portal-Bereitstellungen nicht zwingend erforderlich. Frage zwei: Wie viele PPSK-Schlüssel kann ich in NETGEAR Insight erstellen? NETGEAR Insight unterstützt bis zu 64 PPSK-Schlüssel pro SSID auf Access Points der WAX-Serie. Für die meisten Multi-Tenant-Standorte ist dies mehr als ausreichend. Wenn Sie mehr als 64 Mieter haben, müssen Sie stattdessen auf eine RADIUS-basierte dynamische VLAN-Lösung umsteigen. Frage drei: Unterstützt NETGEAR Insight WPA3 Enterprise für 802.1X? Ja, Access Points der WAX-Serie unterstützen WPA3 Enterprise. Für die meisten KMU-Bereitstellungen ist WPA2 Enterprise ausreichend und bietet eine breitere Kompatibilität mit Client-Geräten. WPA3 Enterprise ist für Umgebungen in Betracht zu ziehen, die mit sensiblen Daten umgehen, wie z. B. im Gesundheitswesen oder bei Finanzdienstleistungen. Frage vier: Was passiert, wenn der Purple RADIUS-Server nicht erreichbar ist? NETGEAR Insight unterstützt eine Failsafe-Option in der Konfiguration des externen Captive Portals. Wenn Sie Failsafe aktivieren, erhalten Gäste für kurze Zeit Internetzugang, selbst wenn die Captive Portal-Server nicht erreichbar sind. Purple hält eine Betriebszeit von 99,999 % in unserer gesamten Infrastruktur aufrecht, aber die Aktivierung von Failsafe ist eine gute Praxis für jede Produktivbereitstellung. Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing: Access Points der NETGEAR WAX-Serie lassen sich über den Mechanismus des externen Captive Portals in NETGEAR Insight mit Purple integrieren. Sie konfigurieren die Splash-Page-URL, die RADIUS-Server-Anmeldedaten und die Walled-Garden-Domains im Insight Cloud Portal. Verwenden Sie für Mitarbeiternetzwerke WPA2 Enterprise mit 802.1X und erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Für Multi-Tenant-Standorte bietet Ihnen die PPSK-Funktion von NETGEAR eine VLAN-Isolation pro Mieter über eine einzige SSID mit bis zu 64 eindeutigen Schlüsseln. Für die anspruchsvollsten Bereitstellungen bietet Ihnen die dynamische VLAN-Zuweisung über RADIUS-Attribute eine identitätsgesteuerte Netzwerksegmentierung, die sich daran anpasst, wer sich verbindet, und nicht nur, von wo aus die Verbindung hergestellt wird. Wenn Sie eine NETGEAR-Bereitstellung mit Purple planen, besteht der nächste Schritt darin, Ihre Purple RADIUS-Anmeldedaten und die Walled-Garden-Domainliste beim Support-Team von Purple anzufordern und die Captive Portal-Weiterleitung auf einer Staging-SSID zu testen, bevor Sie sie in der Produktion einführen. Die Konfiguration dauert weniger als 30 Minuten, sobald Sie diese Anmeldedaten vorliegen haben. Vielen Dank, dass Sie sich das Technical Briefing von Purple angehört haben. Den vollständigen schriftlichen Leitfaden, einschließlich detaillierter Schritt-für-Schritt-Konfigurationsdetails und Praxisbeispielen, finden Sie auf purple.ai.

header_image.png

Executive Summary

Sich beim WiFi-Zugang für Unternehmen auf Pre-Shared Keys zu verlassen, stellt ein erhebliches Sicherheitsrisiko dar. Ein einziges kompromittiertes Anmeldedatum gefährdet das gesamte Netzwerk, und der Entzug des Zugriffs erfordert die Änderung des Passworts für jedes Gerät. Dieser Leitfaden bietet IT-Managern und Netzwerkarchitekten eine definitive Roadmap für die Integration von NETGEAR Insight und Enterprise Access Points der WAX-Serie mit Purple.

Wir beschreiben vier zentrale Bereitstellungsarchitekturen im Detail: Guest WiFi mit einem Captive Portal, sicheres Mitarbeiter-WiFi mittels 802.1X, Multi-Tenant-Segmentierung über NETGEAR Private Pre-Shared Keys (PPSK) und Identity-Based Networks mittels dynamischer VLAN-Zuweisung. Unabhängig davon, ob Sie Standorte im Bereich Hotellerie , Einzelhandel oder im öffentlichen Sektor betreiben, eliminieren diese Konfigurationen gemeinsam genutzte Passwörter, erzwingen eine strikte Netzwerksegmentierung und erfassen aussagekräftige WiFi-Analysen .

Hören Sie sich unten unseren Technical Briefing Podcast an, um einen umfassenden Überblick über die Architektur und häufige Fallstricke bei der Bereitstellung zu erhalten.

Technischer Deep-Dive

Die Access Points der NETGEAR WAX-Serie (WAX610, WAX620, WAX630) sind cloudverwaltete WiFi 6-Geräte, die für Umgebungen mit hoher Dichte entwickelt wurden. Sie werden über das NETGEAR Insight-Portal verwaltet und unterstützen bis zu acht separate SSIDs pro Funkmodul, WPA3-Verschlüsselung und Multi-Gigabit-Durchsatz. Purple fungiert als hardwareunabhängiges Cloud-Overlay, das sich in NETGEAR Insight integriert, um eine Zugriffskontrolle und Datenerfassung auf Enterprise-Niveau bereitzustellen.

1. Guest WiFi mit Captive Portal

Für öffentlich zugängliche Umgebungen müssen Sie ein externes Captive Portal bereitstellen. Diese Konfiguration fängt HTTP-Anfragen von Gästen ab und leitet sie auf eine von Purple gehostete Splash-Page weiter.

Architektur:

  1. Access Point: Der NETGEAR WAX Access Point strahlt eine offene oder mit WPA2 Personal gesicherte Guest SSID aus.
  2. Walled Garden: NETGEAR Insight lässt Datenverkehr vor der Authentifizierung zu den Servern von Purple und Social-Login-Anbietern zu.
  3. Authentifizierung: Purple verwaltet die Benutzersitzung über RADIUS oder HTTP-Web-Authentifizierung.

Wenn sich ein Gast verbindet, wird ihm ein gebrandetes Portal präsentiert. Nach dem Akzeptieren der Bedingungen und der Angabe von Details sendet der RADIUS-Server von Purple eine Access-Accept-Nachricht zurück, die den Internetzugang gewährt. Dieser Ansatz garantiert die Einhaltung von Datenschutzvorschriften wie der GDPR und erfasst gleichzeitig wertvolle First-Party-Daten.

2. Sicheres Mitarbeiter-WiFi (802.1X)

Pre-Shared Keys sind für Mitarbeiternetzwerke inakzeptabel. Sie müssen eine IEEE-802.1X-Authentifizierung implementieren. In diesem Modell verfügt jeder Benutzer über individuelle Anmeldedaten. Wenn ein Mitarbeiter das Unternehmen verlässt, deaktivieren Sie sein Verzeichniskonto, und sein Zugriff wird sofort entzogen.

In NETGEAR Insight konfigurieren Sie eine Staff SSID mit WPA2 Enterprise- oder WPA3 Enterprise-Sicherheit. Der Access Point fungiert als Authentifikator und leitet EAP-Nachrichten (Extensible Authentication Protocol) an den RADIUS-Server weiter. Der RADIUS-Server validiert die Anmeldedaten mit Ihrem Verzeichnis (z. B. Microsoft Entra ID oder Okta) und gibt die Autorisierungsentscheidung zurück.

3. Multi-Tenant-Segmentierung (PPSK)

Gemischt genutzte Immobilien und Fachmarktzentren stehen vor einer besonderen Herausforderung: Mehrere Mieter teilen sich die physische WiFi-Infrastruktur. Die Bereitstellung separater SSIDs für jeden Mieter führt zu einer Überlastung der Funkfrequenzen. Die Bereitstellung eines einzigen gemeinsam genutzten Passworts beeinträchtigt die Sicherheit.

NETGEAR Private Pre-Shared Key (PPSK) löst dieses Problem. Sie strahlen eine einzige SSID aus. In NETGEAR Insight generieren Sie eindeutige Passwörter für jeden Mieter. Entscheidend ist, dass jedes Passwort einem bestimmten VLAN zugeordnet ist.

ppsk_vlan_infographic.png

Wenn sich ein Gerät mit dem Passwort des Einzelhandelsgeschäfts verbindet, stuft der Access Point es in das isolierte Einzelhandels-VLAN ein. Wenn sich das Standort-Management mit seinem Passwort verbindet, landet es im Management-VLAN. Sie erreichen eine vollständige Isolation des Datenverkehrs ohne zusätzliche Hardware. Beachten Sie, dass PPSK WPA2 Personal erfordert und nicht mit einem Captive Portal auf derselben SSID kombiniert werden kann.

4. Dynamische VLAN-Zuweisung via RADIUS

Für anspruchsvolle Identity-Based Networks müssen Sie die dynamische VLAN-Zuweisung verwenden. Anstatt ein VLAN statisch einer SSID oder einem Passwort zuzuweisen, bestimmt der RADIUS-Server das VLAN basierend auf dem Verzeichnisprofil des Benutzers.

Der RADIUS-Server gibt drei Standardattribute in der Access-Accept-Nachricht zurück:

  • [64] Tunnel-Type = 13 (VLAN)
  • [65] Tunnel-Medium-Type = 6 (802)
  • [81] Tunnel-Private-Group-ID = [VLAN-ID]

Eine einzige WPA2 Enterprise SSID kann das gesamte Unternehmen bedienen. Ein Hotelmanager authentifiziert sich und landet im VLAN 20. Ein Mitarbeiter an der Rezeption landet im VLAN 21. Ein externer Dienstleister landet im VLAN 50. Das Netzwerk passt sich der Identität des Benutzers an. Für einen umfassenderen Einblick in die Absicherung Ihrer Umgebung lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Implementierungsleitfaden

Befolgen Sie diese Schritte, um NETGEAR Insight mit Purple Guest WiFi bereitzustellen.

Schritt 1: Konfigurieren der Guest SSID

  1. Melden Sie sich im NETGEAR Insight Cloud Portal an.
  2. Wählen Sie Ihren Netzwerkstandort aus und navigieren Sie zu Wireless > Settings.
  3. Erstellen Sie eine neue SSID (z. B. „Venue Guest WiFi“).
  4. Wählen Sie Captive Portal und entscheiden Sie sich für External Captive Portal.

Schritt 2: Konfigurieren das Captive Portal

  1. Geben Sie im Feld Splash Page URL die von Purple bereitgestellte URL ein.
  2. Wählen Sie das Optionsfeld Radius aus.
  3. Geben Sie die IP-Adresse des primären Authentifizierungsservers, den Port (1812) und das von Purple bereitgestellte Shared Secret ein.
  4. Geben Sie die IP-Adresse des primären Accounting-Servers, den Port (1813) und das Shared Secret ein.
  5. Legen Sie einen aussagekräftigen NAS-Identifier fest (z. B. „London-Retail-01“).

Schritt 3: Walled Garden konfigurieren

Dies ist der wichtigste Schritt. Wenn der Walled Garden fehlerhaft ist, sehen Gäste einen leeren Bildschirm.

  1. Scrollen Sie in den Einstellungen des Captive Portal zum Bereich Walled Garden.
  2. Fügen Sie jede Domain hinzu, die in der Integrationsdokumentation von Purple angegeben ist. Dazu gehören die CDN-Domains von Purple, Authentifizierungsserver und alle aktivierten Social-Login-Anbieter (z. B. Facebook, Google).
  3. Klicken Sie auf Speichern.

Schritt 4: RADIUS-Erreichbarkeit überprüfen

Stellen Sie sicher, dass Ihre Firewall ausgehende Verbindungen für die UDP-Ports 1812 und 1813 von den Management-IP-Adressen der Access Points zu den RADIUS-Servern von Purple zulässt.

Best Practices

  • Zertifikatsvalidierung erzwingen: Erzwingen Sie bei 802.1X-Bereitstellungen eine strenge Zertifikatsvalidierung auf allen Client-Geräten über Gruppenrichtlinienobjekte (GPO) oder Mobile Device Management (MDM). Wenn Clients das Zertifikat des RADIUS-Servers nicht validieren, sind sie anfällig für Angriffe durch gefälschte Access Points (Rogue Access Points).
  • Management-Traffic isolieren: Legen Sie die Management-IP-Adressen der Access Points immer in ein dediziertes Management-VLAN, isoliert vom Datenverkehr der Gäste und Mitarbeiter.
  • Failsafe aktivieren: Aktivieren Sie in den Einstellungen des NETGEAR Insight Captive Portal die Option FailSafe. Wenn die RADIUS-Server nicht erreichbar sind, erhalten Gäste vorübergehenden Internetzugang, was einen vollständigen WiFi-Ausfall verhindert.
  • Separate SSIDs für PPSK: Da NETGEAR Insight PPSK und Captive Portal nicht auf derselben SSID unterstützt, müssen Sie dedizierte SSIDs erstellen (z. B. „Venue-Guest“ und „Venue-Tenant“).

Fehlerbehebung & Risikominderung

Symptom: Gäste verbinden sich mit der SSID, aber die Splash Page lädt nicht.

  • Ursache: Unvollständige Walled Garden-Konfiguration.
  • Lösung: Überprüfen Sie, ob alle Purple-Domains und Social-Login-Domains in den Walled Garden-Einstellungen von NETGEAR Insight korrekt eingegeben wurden. Testen Sie dies mit einem Gerät, auf dem keine Anmeldedaten im Cache gespeichert sind.

Symptom: Mitarbeitergeräte können sich nicht über 802.1X authentifizieren.

  • Ursache: RADIUS-Timeout oder falsches Shared Secret.
  • Lösung: Überprüfen Sie, ob die UDP-Ports 1812 und 1813 für ausgehende Verbindungen geöffnet sind. Vergewissern Sie sich, dass das Shared Secret im NETGEAR Insight-Portal und auf dem RADIUS-Server exakt übereinstimmt. Überprüfen Sie die Protokolle des RADIUS-Servers auf Access-Reject-Meldungen.

Symptom: PPSK-Clients werden dem falschen VLAN zugewiesen.

  • Ursache: Falsche VLAN-Zuordnung oder fehlende VLAN-Konfiguration auf dem Switch.
  • Lösung: Stellen Sie sicher, dass das VLAN in NETGEAR Insight unter den kabelgebundenen Einstellungen (Wired) erstellt wurde. Überprüfen Sie, ob die Multi-PSK-Einstellungen das richtige Passwort der korrekten VLAN-ID zuordnen. Stellen Sie sicher, dass der Switch-Port, der den Access Point verbindet, als Trunk-Port konfiguriert ist, der das Ziel-VLAN zulässt.

ROI & geschäftlicher Nutzen

Die Bereitstellung von NETGEAR Insight mit Purple verwandelt Ihre drahtlose Infrastruktur von einem Kostenfaktor in eine umsatzgenerierende Ressource. Durch die Implementierung von identitätsbasierten Netzwerken und Captive Portals erreichen Sie:

  • Geringerer IT-Overhead: PPSK und 802.1X machen die manuelle Verwaltung gemeinsam genutzter Passwörter oder den Einsatz von Technikern für routinemäßige Zugriffsänderungen überflüssig.
  • Aussagekräftige Analysen: Erfassen Sie demografische Daten, Verweilzeiten und Wiederkehrraten, um den Betrieb des Standorts und den Mietermix zu optimieren.
  • Marketing-ROI: Bauen Sie eine hochgradig zielgerichtete, GDPR-konforme CRM-Datenbank auf. Standorte verzeichnen in der Regel eine erhebliche Senkung der Kundenakquisitionskosten, wenn sie First-Party-Daten nutzen, die über WiFi erfasst wurden.
  • Erhöhte Sicherheit: Die dynamische VLAN-Zuweisung isoliert IoT-Geräte, Kassensysteme (Point-of-Sale) und den Gästedatenverkehr, was die Angriffsfläche erheblich verringert und die PCI-DSS-Compliance gewährleistet.

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (Network Access Control), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung mit einem LAN oder WLAN herstellen möchten.

Unerlässlich für die Unternehmenssicherheit; ersetzt gemeinsam genutzte Passwörter durch individuelle Benutzeranmeldedaten.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm Zugriff gewährt wird.

Wird von Purple verwendet, um First-Party-Daten zu erfassen und die Zustimmung zu den Nutzungsbedingungen sicherzustellen.

PPSK (Private Pre-Shared Key)

Eine Funktion, die mehrere eindeutige Passwörter auf einer einzigen SSID ermöglicht, wobei jedes Passwort den Benutzer einem bestimmten VLAN zuweist.

Ideal für Gebäude mit mehreren Mietern oder zur Isolierung von IoT-Geräten, ohne mehrere SSIDs erstellen zu müssen.

RADIUS

Remote Authentication Dial-In User Service; ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bereitstellt.

Der zentrale Server, der Anmeldedaten validiert und dem NETGEAR AP mitteilt, ob der Zugriff gewährt werden soll.

Walled Garden

Eine eingeschränkte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste vor der vollständigen Authentifizierung kontrolliert.

Muss in NETGEAR Insight konfiguriert werden, damit Geräte die Purple Splash-Page und Social-Login-Anbieter erreichen können.

Dynamic VLAN Assignment

Der Prozess, bei dem ein RADIUS-Server einen Access Point anweist, einen authentifizierten Benutzer basierend auf seiner Identität in ein bestimmtes VLAN einzustufen.

Ermöglicht Identity-Based Networks, sodass eine einzige SSID mehrere Abteilungen sicher bedienen kann.

NAS-Identifier

Network Access Server Identifier; eine Zeichenfolge zur Identifizierung der Quelle einer RADIUS-Zugriffsanfrage.

In NETGEAR Insight konfiguriert, damit Purple weiß, von welchem Standort oder Access Point aus sich der Benutzer verbindet.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security; eine Authentifizierungsmethode, die digitale Zertifikate sowohl auf dem Client als auch auf dem Server erfordert.

Die sicherste 802.1X-Methode, die Passwörter vollständig überflüssig macht, jedoch MDM zur Bereitstellung von Zertifikaten erfordert.

Ausgearbeitete Beispiele

Ein Fachmarktzentrum mit 40 Einheiten muss sicheres, isoliertes WiFi für die Point-of-Sale-Systeme jedes Mieters sowie ein gebrandetes öffentliches WiFi-Netzwerk für Kunden bereitstellen. Es wurden NETGEAR WAX630 Access Points installiert. Wie sollte das Netzwerk konfiguriert werden?

Erstellen Sie zwei SSIDs in NETGEAR Insight. SSID 1: 'RetailPark-Guest'. Konfigurieren Sie diese mit einem externen Captive Portal, das auf die Splash-Page von Purple verweist, mit RADIUS-Authentifizierung und einem umfassenden Walled Garden. Weisen Sie diese VLAN 10 zu (nur Internet). SSID 2: 'RetailPark-Tenants'. Konfigurieren Sie diese mit WPA2 Personal und aktivieren Sie Multi PSK (PPSK). Erstellen Sie 40 eindeutige Passwörter. Weisen Sie das Passwort von Mieter A VLAN 101 zu, Mieter B VLAN 102 usw. Stellen Sie sicher, dass der Core-Switch alle VLANs zu den Access Points weiterleitet (Trunking).

Kommentar des Prüfers: Dieser Ansatz bietet eine perfekte Balance zwischen Sicherheit und Benutzerfreundlichkeit. Durch die Trennung der SSIDs umgehen wir die NETGEAR-Einschränkung, dass PPSK und Captive Portals nicht gemischt werden können. Die PPSK-Konfiguration gewährleistet eine vollständige Isolation zwischen den Mietern für die PCI-Compliance, während das Purple-Portal Kundendaten erfasst.

Eine Unternehmenszentrale möchte von einem gemeinsam genutzten WPA2-Passwort wegkommen. Die Mitarbeiter sollen sich mit ihren Microsoft Entra ID-Anmeldedaten authentifizieren, und das Finanzteam soll VLAN 50 sowie das Marketingteam VLAN 60 zugewiesen werden.

Stellen Sie eine einzelne SSID 'Corporate-Secure' bereit, die für WPA2 Enterprise konfiguriert ist. Verweisen Sie in den NETGEAR Insight RADIUS-Einstellungen auf einen mit Entra ID integrierten RADIUS-Server. Konfigurieren Sie den RADIUS-Server so, dass er basierend auf der Verzeichnisgruppenmitgliedschaft des Benutzers Standard-Tunnelattribute (Tunnel-Type=13, Tunnel-Medium-Type=6, Tunnel-Private-Group-ID=50 oder 60) zurückgibt. Erzwingen Sie die Zertifikatsvalidierung auf allen Firmen-Laptops via MDM.

Kommentar des Prüfers: Dies demonstriert echtes Identity-Based Networking. Der Access Point weist das VLAN basierend auf der RADIUS-Antwort dynamisch zu. Entscheidend ist, dass die Erzwingung der Zertifikatsvalidierung Rogue-AP-Angriffe verhindert, was für die Unternehmenssicherheit unerlässlich ist.

Übungsfragen

Q1. Sie haben ein Purple Captive Portal auf einem NETGEAR WAX620 bereitgestellt. Gäste können sich mit dem WiFi verbinden, aber ihre Browser zeigen anstelle der Splash-Page den Fehler 'Ziel nicht erreichbar' an. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Bedenken Sie, was geschehen muss, bevor der Gast vollständig authentifiziert ist, um externe Server zu erreichen.

Musterlösung anzeigen

Der Walled Garden ist falsch konfiguriert oder unvollständig. Der NETGEAR Access Point blockiert den anfänglichen Datenverkehr zu den Servern von Purple. Sie müssen sicherstellen, dass alle erforderlichen Purple-CDN-Domains, Authentifizierungs-URLs und Social-Login-Domains zur Walled-Garden-Liste im Insight-Portal hinzugefügt wurden.

Q2. Ein Standort benötigt sowohl ein Guest Captive Portal als auch sicheres, isoliertes WiFi für 10 verschiedene Einzelhandelsmieter. Sie möchten HF-Interferenzen minimieren. Wie konfigurieren Sie die NETGEAR Access Points?

Hinweis: NETGEAR Insight weist spezifische Einschränkungen hinsichtlich der Kombination von Captive Portals und PPSK auf.

Musterlösung anzeigen

Sie müssen genau zwei SSIDs erstellen. NETGEAR unterstützt PPSK und Captive Portal nicht auf derselben SSID. Erstellen Sie 'Venue-Guest' mit einem externen Captive Portal, das auf Purple verweist. Erstellen Sie 'Venue-Retail' mit WPA2 Personal und konfigurieren Sie Multi PSK (PPSK) mit 10 eindeutigen Passwörtern, die jeweils einem anderen VLAN zugewiesen sind.

Q3. Welche drei RADIUS-Attribute muss der Server bei der Konfiguration der dynamischen VLAN-Zuweisung für Mitarbeiter mittels 802.1X in der Access-Accept-Nachricht zurückgeben?

Hinweis: Denken Sie an die Standardattribute nach RFC 2868 für die Tunnelkonfiguration.

Musterlösung anzeigen

Der RADIUS-Server muss Folgendes zurückgeben: [64] Tunnel-Type = 13 (VLAN), [65] Tunnel-Medium-Type = 6 (802) und [81] Tunnel-Private-Group-ID = [Die spezifische VLAN-ID-Zeichenfolge].

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

Leitfaden lesen →

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

Leitfaden lesen →