Integration von DrayTek Vigor Routern und Access Points mit Purple WiFi

Diese Anleitung bietet schrittweise technische Anweisungen für die Integration von DrayTek Vigor Routern und VigorAP Access Points mit der Cloud-Plattform von Purple. Sie deckt die Konfiguration des DrayTek Captive Portals für Guest WiFi, die 802.1X-Authentifizierung für sicheres Staff WiFi, die Einrichtung des Walled Gardens sowie die DrayTek Multiple PSK (PPSK)-Konfiguration für die Multi-Tenant-Netzwerksegmentierung mit dynamischer VLAN-Zuweisung ab. Entwickelt für IT-Installateure und Netzwerkadministratoren in KMUs, die Purple in der Hotellerie, im Einzelhandel und an Multi-Tenant-Standorten bereitstellen.

📖 10 Min. Lesezeit📝 2,500 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Integration Briefing. Heute befassen wir uns mit DrayTek Vigor Routern und VigorAP Access Points und insbesondere mit deren Integration mit Purple WiFi. Dieses Briefing richtet sich an IT-Manager und Netzwerkarchitekten, die Gäste-, Mitarbeiter- und Multi-Tenant-Netzwerke in KMUs und mittelständischen Standorten bereitstellen.

Beginnen wir mit dem Kontext. DrayTek-Hardware ist im Einzelhandel, in der Hotellerie und in Mehrfamilienhäusern unglaublich beliebt, da sie robuste Routing-, VPN- und Wireless-Funktionen zu einem wettbewerbsfähigen Preis bietet. Wenn Sie einen DrayTek Vigor Router mit Purple kombinieren, verwandeln Sie eine Standard-Internetverbindung in ein identitätsbasiertes Netzwerk. Purple verfügt über mehr als 80.000 aktive Standorte und verarbeitet 440 Millionen Logins pro Jahr. Wir liefern das Captive Portal, die Analysen und die Sicherheitsebene. DrayTek stellt die zuverlässige Edge-Infrastruktur bereit.

Gehen wir nun in die technische Tiefe. Wie setzen wir das konkret um? Der Kern der Integration basiert auf der RADIUS-Authentifizierung und der externen Captive Portal-Weiterleitung.

Zuerst die Einrichtung des Guest WiFi. Sie konfigurieren den DrayTek Vigor Router als Hotspot Web Portal Gateway. In der DrayOS-Benutzeroberfläche fügen Sie unter „Applications“ und „RADIUS“ die RADIUS-Server-IP von Purple und das Shared Secret hinzu. Anschließend stellen Sie unter „Hotspot Web Portal“ die Portal-Methode auf „External Server“ ein und fügen Ihre spezifische Purple-Zugriffs-URL ein. Der DrayTek Router fängt den Gast-Datenverkehr ab, leitet ihn zur Authentifizierung an das Cloud-Overlay von Purple weiter und gewährt dann über RADIUS den Zugriff.

Ein entscheidender Schritt dabei ist der Walled Garden. Gäste müssen die Server von Purple erreichen können, bevor sie authentifiziert sind. Sie müssen den Reiter „Destination Domain“ im DrayTek Hotspot-Profil so konfigurieren, dass der Datenverkehr zu den Authentifizierungsdomains von Purple zugelassen wird. Wenn Sie dies vergessen, wird die Splash-Page schlichtweg nicht geladen. Dies ist einer der häufigsten Fehler bei der Ersteinrichtung.

Und wie sieht es mit dem Staff WiFi aus? Für den sicheren Zugriff von Mitarbeitern verwenden Sie kein Captive Portal. Sie nutzen die 802.1X-Authentifizierung, den IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. In den DrayTek Wireless LAN Security-Einstellungen wählen Sie WPA2/802.1X aus und verweisen auf den RADIUS-Server von Purple. Die Geräte der Mitarbeiter authentifizieren sich nahtlos über PEAP und MS-CHAPv2. Dies eliminiert gemeinsam genutzte Passwörter vollständig und ermöglicht es Ihnen, den Zugriff sofort zu entziehen, wenn ein Mitarbeiter das Unternehmen verlässt. Es ist nicht erforderlich, das Passwort für den gesamten Standort zu ändern.

Sprechen wir über Multi-Tenant-Umgebungen. Denken Sie an Studentenwohnheime, Coworking-Spaces oder Konzessionsflächen im Einzelhandel. Hier ist eine Netzwerksegmentierung erforderlich. DrayTek löst dies mit VLANs und Multiple PSK, auch bekannt als PPSK oder Private Pre-Shared Key. Sie konfigurieren VLANs auf dem DrayTek Router. Zum Beispiel VLAN 10 für Gäste, VLAN 20 für Mitarbeiter und VLAN 30 für Mieter. Mit der WPA2-PPSK-Funktion von DrayTek auf den VigorAPs erhält jeder Mieter eine eindeutige Passphrase. Wenn sie sich verbinden, bindet der Access Point diese Passphrase an ihre MAC-Adresse und leitet sie in ihr isoliertes VLAN weiter. Das bedeutet, dass ein Café-Mieter im Erdgeschoss eines Hotels das interne Netzwerk des Hotels nicht sehen kann, obwohl sie denselben physischen Access Point nutzen.

Die dynamische VLAN-Zuweisung geht noch einen Schritt weiter. Der RADIUS-Server von Purple kann bei der Authentifizierung eines Benutzers bestimmte RADIUS-Attribute zurückgeben. Dies sind die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID. Der DrayTek Router liest diese Werte aus und weist den authentifizierten Client dynamisch dem korrekten VLAN zu. Das ist identitätsbasiertes Networking in der Praxis: Das Netzwerk passt sich der Identität des Benutzers an, nicht umgekehrt.

Kommen wir nun zu den Empfehlungen für die Implementierung und den Fallstricken.

Empfehlung eins: Verwenden Sie für Ihre VigorAPs immer einen kabelgebundenen Backhaul. Wireless Distribution Systems oder Universal Repeater können die für eine ordnungsgemäße Netzwerksegmentierung erforderlichen 802.1Q-VLAN-Tags nicht übertragen. Wenn Sie ein vom internen LAN isoliertes Gastnetzwerk wünschen, müssen diese VLAN-Tags intakt bleiben. Das bedeutet ein physisches Ethernet-Kabel von jedem Access Point zurück zum DrayTek Router oder einem Managed Switch.

Empfehlung zwe: Aktivieren Sie AP-Assisted Mobility auf den VigorAPs. Diese Funktion trennt intelligent Clients mit schwacher Signalstärke und zwingt sie zum Roaming zu einem näheren Access Point. Sie löst das Problem des „Sticky Client“, das viele KMU-Bereitstellungen betrifft. In einer Einzelhandelsumgebung sollte ein Käufer, der von der Vorderseite des Ladens nach hinten geht, nahtlos zwischen den Access Points wechseln. Ohne AP-Assisted Mobility klammert sich das Gerät möglicherweise an den vorderen Access Point, selbst wenn das Signal schwach ist.

Empfehlung drei: Planen Sie Ihr VLAN-Nummerierungsschema, bevor Sie beginnen. Eine Änderung der VLAN-IDs nach der Bereitstellung erfordert eine Neukonfiguration des Routers, aller Access Points und potenziell aller Managed Switches im Pfad. Dokumentieren Sie Ihr Schema klar und deutlich.

Der größte Fallstrick? Das Vergessen des Neustarts des DrayTek Routers nach dem Übernehmen der RADIUS- und Hotspot-Konfigurationen. DrayOS erfordert einen Neustart, um diese spezifischen Änderungen anzuwenden. Wenn Sie dies überspringen, verbringen Sie Stunden mit der Fehlersuche bei einer Konfiguration, die eigentlich korrekt, aber einfach noch nicht aktiv ist. Dies ist im offiziellen Support-Leitfaden von Purple für DrayTek-Hardware dokumentiert.

Machen wir eine schnelle Fragerunde.

Frage: Kann ich den internen RADIUS-Server des Vigor Routers verwenden?
Antwort: Für die lokale 802.1X-Authentifizierung ist das möglich, aber für die Purple-Integration müssen Sie die externen RADIUS-Server von Purple verwenden. Nur so werden das zentrale Richtlinienmanagement und die Analysen ermöglicht, die Purple bietet.

Frage: Unterstützt DrayTek dynamisches VLAN-Steering über RADIUS?
Antwort: Ja. Der RADIUS-Server von Purple gibt bei der Authentifizierung die Attribute Tunnel-Type und Tunnel-Private-Group-ID zurück. Der DrayTek Router liest diese aus und weist den Client dynamisch dem korrekten VLAN zu.

Frage: Was passiert, wenn das iOS-Gerät eines Benutzers eine private MAC-Adresse mit PPSK verwendet?
Antwort: Die Authentifizierung schlägt fehl. Das PPSK-Profil ist an eine bestimmte MAC-Adresse gebunden. Sie müssen die Benutzer anweisen, die private WLAN-Adresse für Ihr spezifisches Netzwerk in ihren iOS-Einstellungen zu deaktivieren, um eine stabile Verbindung zu gewährleisten.

Frage: Welche DrayTek-Modelle werden mit Purple unterstützt?
Antwort: Zu den derzeit unterstützten Modellen gehören die Serien 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 und 3910. Die aktuelle Liste finden Sie in der Support-Dokumentation von Purple.

Zusammenfassend lässt sich sagen: DrayTek und Purple bieten Ihnen gemeinsam eine Netzwerkkontrolle auf Enterprise-Niveau zu KMU-Preisen. Sie nutzen das Hotspot Web Portal für Gäste, 802.1X für Mitarbeiter und PPSK mit VLANs für Mieter. Planen Sie Ihre VLANs sorgfältig, konfigurieren Sie Ihre Walled Gardens und starten Sie das Gerät nach dem Übernehmen der RADIUS-Einstellungen immer neu. Verwenden Sie einen kabelgebundenen Backhaul für Ihre Access Points, aktivieren Sie AP-Assisted Mobility und planen Sie die MAC-Randomisierung auf iOS-Geräten ein.

Vielen Dank für das Zuhören bei diesem technischen Briefing. Konfigurieren Sie Ihre Hardware, und wir sehen uns auf der Purple-Plattform.

Wichtigste Erkenntnisse

✓DrayTek Vigor Router nutzen die Funktion „Hotspot Web Portal“ im Modus „External Server“, um den Gast-Datenverkehr für eine GDPR-konforme Datenerfassung auf die in der Cloud gehostete Splash-Page von Purple umzuleiten.
✓Der Walled Garden (Reiter „Dest Domain“) muss vor der Bereitstellung alle Purple-Authentifizierungsdomains auflisten – fehlende Einträge sind die häufigste Ursache für Fehler beim Laden der Splash-Page.
✓Staff WiFi sollte die WPA2/802.1X Enterprise-Sicherheit nutzen und sich am RADIUS-Server von Purple authentifizieren, um gemeinsam genutzte Passwörter zu eliminieren und den sofortigen Entzug des Zugriffs pro Benutzer zu ermöglichen.
✓Multi-Tenant-Umgebungen nutzen DrayTek WPA2-PPSK auf VigorAPs, um eindeutige Passphrasen pro Mieter zuzuweisen und den Datenverkehr dynamisch in isolierten VLANs auf dem Vigor Router zu taggen.
✓Alle VigorAPs müssen über kabelgebundenes Ethernet mit dem Router verbunden werden – drahtlose Repeater-Modi entfernen 802.1Q-VLAN-Tags und unterbrechen die Netzwerksegmentierung.
✓DrayOS erfordert einen Router-Neustart, um Änderungen an RADIUS- oder Hotspot Web Portal-Konfigurationen zu übernehmen – dies ist ein zwingend erforderlicher Schritt, keine Option.
✓Aktivieren Sie AP-Assisted Mobility auf VigorAPs, um das Verhalten von Sticky Clients zu verhindern und stabile Captive Portal-Sitzungen zu gewährleisten, wenn sich Benutzer durch den Standort bewegen.

Management-Zusammenfassung

DrayTek Vigor Router und VigorAP Access Points sind an Zehntausenden von KMU-, Einzelhandels- und Hotellerie-Standorten in ganz Großbritannien und Europa im Einsatz. Integriert in das Cloud-Overlay von Purple wird diese Hardware zur Grundlage eines identitätsbasierten Netzwerks – sie erfasst First-Party-Daten, sichert interne Ressourcen und segmentiert Multi-Tenant-Datenverkehr, alles über eine einzige Plattform.

Diese Anleitung deckt vier Bereitstellungsszenarien ab: Guest WiFi mit einer gebrandeten Splash-Page und RADIUS-Authentifizierung, sicheres Staff WiFi mittels IEEE 802.1X Enterprise, die Walled Garden-Konfiguration zur Zulassung von Datenverkehr vor der Authentifizierung sowie Multi-Tenant WiFi unter Verwendung der WPA2-PPSK-Funktion von DrayTek mit dynamischer VLAN-Zuweisung. Purple ist an über 80.000 aktiven Standorten mit einer Verfügbarkeit von 99,999 % im Einsatz und verfügt über ISO 27001-, GDPR- und Cyber Essentials-Zertifizierungen – die Sicherheits- und Compliance-Anforderungen, denen Ihr Standort gegenübersteht, sind also bereits in der Plattform verankert.

Zu den unterstützten DrayTek-Modellen gehören die Serien Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 und 3910. Alle VigorAP Access Points, die über das Central AP Management (APM) verwaltet werden, sind mit dieser Integration kompatibel.

Technische Vertiefung

Funktionsweise der Integration

Die Integration von DrayTek und Purple basiert auf dem Zusammenspiel zweier Mechanismen: der externen Captive Portal-Weiterleitung und der RADIUS-Authentifizierung (Remote Authentication Dial-In User Service). Purple fungiert als zentraler Identitätsanbieter und Richtlinien-Engine. Der DrayTek Vigor Router agiert als Network Access Server (NAS) und setzt die von den RADIUS-Servern von Purple zurückgegebenen Zugriffsentscheidungen durch.

Wenn sich ein Gast mit der WiFi SSID verbindet, versetzt der DrayTek Router das Gerät in einen Zustand vor der Authentifizierung. Er fängt den HTTP-Datenverkehr des Geräts ab und leitet ihn über die Funktion „Hotspot Web Portal“ in DrayOS auf die in der Cloud gehostete Splash-Page von Purple weiter. Der Benutzer schließt den Anmeldevorgang auf der Plattform von Purple ab – unter Verwendung von Social Login, E-Mail, SMS oder einem verwalteten Identitätsanbieter wie Microsoft Entra ID, Okta oder Google Workspace. Der RADIUS-Server von Purple sendet daraufhin eine Access-Accept-Nachricht an den DrayTek Router, die den Internetzugang gewährt und das RADIUS-Accounting auf Port 1813 startet.

Guest WiFi und das DrayTek Captive Portal

Das DrayTek Hotspot Web Portal ist der Kernmechanismus für die Gäste-Authentifizierung. In DrayOS konfigurieren Sie ein Hotspot-Profil, das die Portal-Methode, den Authentifizierungsserver, Sitzungslimits und die Landingpage definiert. Die Einstellung der Portal-Methode auf External Server weist DrayOS an, nicht authentifizierte Clients an eine externe URL – in dieses Fall Ihre Purple-Zugriffs-URL – weiterzuleiten, anstatt eine lokal gehostete Seite anzuzeigen.

Die RADIUS-Konfiguration innerhalb des Hotspot-Profils verweist auf die RADIUS-Server-IP von Purple auf Port 1812 für die Authentifizierung und Port 1813 für das Accounting. Das Shared Secret muss exakt mit dem übereinstimmen, das in Ihrem Purple-Standort-Dashboard angezeigt wird. Eine Abweichung an dieser Stelle ist die häufigste Ursache für Authentifizierungsfehler.

Die Sitzungsverwaltung wird über die Einstellung Expired Time After Activation gesteuert. Für die meisten Bereitstellungen in der Hotellerie und im Einzelhandel sind sechs Stunden ein praktischer Standardwert. Sie können dies an Ihr Purple-Sitzungs-Timeout anpassen, um ein konsistentes Verhalten auf beiden Systemen zu gewährleisten.

Walled Garden-Konfiguration

Bevor sich ein Gast authentifiziert, hat sein Gerät keinen Internetzugang. Das Gerät muss jedoch in der Lage sein, die Server von Purple zu erreichen, um die Splash-Page zu laden. Der Walled Garden – konfiguriert über den Reiter Dest Domain im DrayTek Hotspot-Profil – definiert, welche Domains vor der Authentifizierung zugänglich sind.

Sie müssen die Authentifizierungsdomains von Purple zu dieser Liste hinzufügen, eine pro Index. Wenn Sie Social-Login-Anbieter (wie Google oder Facebook) oder einen verwalteten Identitätsanbieter wie Microsoft Entra ID verwenden, müssen deren Domains ebenfalls enthalten sein. Eine fehlerhafte Konfiguration des Walled Gardens ist der mit Abstand häufigste Grund, warum ein DrayTek Captive Portal die Splash-Page nicht anzeigt. Die Support-Dokumentation von Purple enthält die aktuelle Liste der erforderlichen Domains für jede Anmeldemethode.

Sicheres Staff WiFi mittels 802.1X

Für interne Mitarbeiter ist ein Captive Portal das falsche Werkzeug. Gemeinsam genutzte WPA2-Passwörter stellen ein Sicherheitsrisiko dar: Wenn ein Mitarbeiter das Unternehmen verlässt, müssen Sie das Passwort auf jedem Gerät aktualisieren. Die IEEE 802.1X Enterprise-Authentifizierung eliminiert dieses Problem vollständig.

Navigieren Sie in DrayOS zu Wireless LAN > Security und wählen Sie WPA2/802.1X für Ihre Mitarbeiter-SSID. Klicken Sie auf den Link „RADIUS Server“ und geben Sie die Server-IP von Purple, den Port und das Shared Secret ein. Die Geräte der Mitarbeiter authentifizieren sich über PEAP (Protected Extensible Authentication Protocol) mit MS-CHAPv2 as innerer Methode. Dies ist die erforderliche Konfiguration für Windows-, macOS-, iOS- und Android-Geräte, die sich mit einem drahtlosen Unternehmensnetzwerk verbinden.

Purple entzieht den Zugriff auf Identitätsebene. Wenn ein Mitarbeiter das Unternehmen verlässt, deaktivieren Sie sein Konto in Ihrem Identitätsanbieter (Microsoft Entra ID, Okta oder Google Workspace). Der RADIUS-Server von Purple akzeptiert daraufhin sofort keine Authentifizierungsanfragen dieses Kontos mehr. Es ist keine Passwortänderung am gesamten Standort erforderlich.

Weitere Informationen zur Sicherheitsarchitektur von Unternehmens-WLANs finden Sie in unserem Leitfaden Enterprise WiFi Security: Ein vollständiger Leitfaden für 2026 .

Multi-Tenant-Netzwerksegmentierung mit DrayTek Multiple PSKs

Multi-Tenant-Umgebungen – wie Hotels mit verpachteten Restaurant- oder Einzelhandelsflächen, Coworking-Standorte, Studentenwohnheime und Build-to-Rent-Entwicklungen – erfordern eine strikte Netzwerktrennung zwischen den Mietern. Ein Käufer in einer Konzessionsfläche darf nicht auf das interne Netzwerk des Hotels zugreifen können, und zwei Einzelhandelsmieter dürfen den Datenverkehr des jeweils anderen nicht einsehen können.

DrayTek löstergänzt dies mit zwei komplementären Funktionen: VLAN-Tagging und WPA2-PPSK (Private Pre-Shared Key).

VLAN-Konfiguration auf dem Vigor-Router weist jeden Mandanten einem separaten logischen Netzwerk zu. Navigieren Sie zu LAN > VLAN, aktivieren Sie die VLAN-Konfiguration und weisen Sie jedem Mandantensegment eine eindeutige VLAN-ID zu. Alle LAN-Ports, die mit VigorAPs verbunden sind, müssen Mitglieder aller relevanten VLANs sein und effektiv als 802.1Q-Trunk-Ports fungieren. Die Inter-LAN Routing Table unter LAN > General Setup steuert, ob Datenverkehr zwischen VLANs übertragen werden kann – für die Mandantentrennung muss dies deaktiviert werden.

WPA2-PPSK auf dem VigorAP weist jedem Mandanten eine eindeutige Passphrase zu. Der Access Point bindet diese Passphrase an die MAC-Adresse des Geräts. Wenn sich ein Gerät verbindet, identifiziert der AP die verwendete Passphrase und versieht den Datenverkehr mit dem Tag der entsprechenden VLAN-ID. Dies ermöglicht es einer einzigen SSID, mehrere isolierte Mandantennetzwerke gleichzeitig zu bedienen, was den Wireless-Overhead reduziert und die Benutzererfahrung vereinfacht.

Dynamische VLAN-Zuweisung via RADIUS

Für Bereitstellungen, bei denen die VLAN-Zuweisung eher durch die Benutzeridentität als durch eine statische Passphrase gesteuert werden soll, unterstützt der RADIUS-Server von Purple dynamisches VLAN-Steering. Wenn sich ein Benutzer authentifiziert, gibt Purple drei RADIUS-Attribute in der Access-Accept-Nachricht zurück:

RADIUS-Attribut	Wert
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	VLAN-ID (z. B. „20“)

Der DrayTek-Router liest diese Attribute aus und weist den authentifizierten Client dem angegebenen VLAN zu, unabhängig davon, mit welcher SSID er sich verbunden hat. Dies ist Identity-Based Networking: Das Netzwerksegment wird dadurch bestimmt, wer der Benutzer ist, und nicht, welches Passwort er eingegeben hat.

Implementierungsleitfaden

Checkliste vor der Bereitstellung

Bestätigen Sie Folgendes, bevor Sie beginnen:

Element	Anforderung
DrayTek-Firmware	Neueste stabile DrayOS-Version
Purple-Standort	Erstellt und aktiv im Purple-Dashboard
RADIUS-Anmeldedaten	Von Purple abgerufene Zugriffs-URL, RADIUS-Server-IP, Shared Secret, NAS-Identifikator
VLAN-Plan	VLAN-IDs dokumentiert für Guest, Staff und jeden Mandanten
VigorAP-Backhaul	Kabelgebundenes Ethernet für alle Access Points bestätigt

Schritt 1: RADIUS auf dem DrayTek-Router konfigurieren

Navigieren Sie in der DrayOS-Weboberfläche zu Applications > RADIUS/TACACS+. Aktivieren Sie auf der Registerkarte External RADIUS das Profil und geben Sie die IP-Adresse des RADIUS-Servers von Purple, den Port (1812) und das Shared Secret ein. Klicken Sie auf OK, um zu speichern. Der Router erfordert einen Neustart, um diese Änderung zu übernehmen – überspringen Sie diesen Schritt nicht.

Schritt 2: Hotspot-Webportal-Profil erstellen

Navigieren Sie zu Hotspot Web Portal > Profile Setup und wählen Sie einen verfügbaren Index aus. Konfigurieren Sie das Profil wie folgt:

Einstellung	Wert
Dieses Profil aktivieren	Ja
Portal-Methode	Externer Server
Captive Portal-URL	Ihre Purple-Zugriffs-URL
Weiterleitungs-URL	http://portal.draytek.com
Authentifizierungsmethode	Externer RADIUS-Server
Server-IP-Adresse	Purple RADIUS-Server-IP
Zielport	1812
Shared Secret	Ihr Purple Shared Secret
Accounting aktivieren	Ja
Accounting-Port	1813
MAC-Adressformat	AA-BB-CC-DD-EE-FF

Klicken Sie auf OK, um zu speichern.

Schritt 3: Walled Garden konfigurieren

Klicken Sie auf Save and Next, um zur Registerkarte Dest Domain zu gelangen. Fügen Sie jede erforderliche Purple-Domain hinzu, eine pro Index. Die aktuelle Liste finden Sie in der Walled Garden Domain Whitelist von Purple in der Support-Dokumentation. Klicken Sie auf Save and Next, um fortzufahren.

Schritt 4: Sitzungs- und Landingpage-Einstellungen konfigurieren

Stellen Sie auf dem letzten Konfigurationsbildschirm Folgendes ein:

Einstellung	Wert
Ablaufzeit nach Aktivierung	0 Tage, 6 Stunden, 0 Min. (oder Ihre bevorzugte Dauer)
HTTPS-Weiterleitung	Nein
Captive Portal-Erkennung	Ja
Landingpage nach Authentifizierung	Ihre Purple-Weiterleitungs-URL
Angewendete Schnittstellen	Wählen Sie die Guest-WiFi-SSID(s) aus

Klicken Sie auf Finish, um zu speichern. Starten Sie den Router vor dem Testen neu.

Schritt 5: VLANs für die Netzwerksegmentierung konfigurieren

Navigieren Sie zu LAN > VLAN und aktivieren Sie die VLAN-Konfiguration. Erstellen Sie einen VLAN-Eintrag für jedes Netzwerksegment. Weisen Sie alle LAN-Ports, die mit VigorAPs verbunden sind, als Mitglieder aller relevanten VLANs zu (Trunk-Konfiguration). Navigieren Sie zu LAN > General Setup und verwenden Sie die Inter-LAN Routing Table, um den VLAN-übergreifenden Zugriff bei Bedarf zu blockieren.

Schritt 6: 802.1X für Staff-WiFi konfigurieren

Navigieren Sie zu Wireless LAN > Security und wählen Sie die Staff-SSID aus. Stellen Sie den Sicherheitsmodus auf WPA2/802.1X ein. Klicken Sie auf den Link RADIUS Server und geben Sie die Server-IP von Purple, Port 1812 und das Shared Secret ein. Speichern Sie die Konfiguration.

Schritt 7: PPSK für die Mandantentrennung konfigurieren

Navigieren Sie auf jedem VigorAP zu Wireless LAN > Security Settings und wählen Sie WPA2PPSK. Klicken Sie auf die Schaltfläche PPSK, um Einträge hinzuzufügen. Erstellen Sie für jeden Mandanten einen PPSK-Eintrag mit der MAC-Adresse des Mandantengeräts und einer eindeutigen Passphrase. Stellen Sie sicher, dass die Passphrase in Ihrer Router-Konfiguration dem richtigen VLAN zugeordnet ist. Beachten Sie, dass PPSK-Profile für 2,4 GHz und 5 GHz auf VigorAPs separat verwaltet werden.

Best Practices

Die folgenden Empfehlungen spiegeln die Bereitstellungserfahrung von Purple an über 80.000 Standorten wider, darunter Umgebungen in den Bereichen Gastgewerbe , Einzelhandel , Gesundheitswesen und Transportwesen .

Verwenden Sie für alle VigorAPs ein kabelgebundenes Backhaul. Wireless Distribution Systems (WDS) und universelle Repeater-Modi können keine 802.1Q-VLAN-Tags übertragen. Wenn Sie eine Netzwerksegmentierung benötigen – und das ist in jeder mandantenfähigen oder gemischt genutzten Umgebung der Fall –, muss jeder Access Point über Ethernet mit dem Router oder einem Managed Switch verbunden werden.

Aktivieren Sie AP-Assisted Mobility. DrayTek VigorAPs unterstützen Pre-Authentication und PMK-Caching, um die 802.1X-Reauthentifizierung beim Roaming eines Clients zu beschleunigenzwischen Access Points. Aktivieren Sie AP-Assisted Mobility, um Clients mit geringer Signalstärke aktiv zu trennen und sie so zu zwingen, sich mit dem nächstgelegenen AP zu verbinden. Dies ist besonders in Einzelhandelsumgebungen wichtig, in denen sich Kunden kontinuierlich durch den Raum bewegen.

Planen Sie Ihr VLAN-Schema vor der Bereitstellung. Eine Änderung der VLAN-IDs nach der Bereitstellung erfordert die Neukonfiguration des Routers, aller Access Points und aller verwalteten Switches im Pfad. Dokumentieren Sie Ihr Schema – VLAN 10 für Gäste, VLAN 20 für Mitarbeiter, VLAN 30+ für Mieter –, bevor Sie die Hardware anfassen.

Stimmen Sie die Sitzungs-Timeouts zwischen DrayTek und Purple ab. Wenn das DrayTek-Hotspot-Profil eine Sitzung nach sechs Stunden beendet, die Sitzung von Purple jedoch auf 24 Stunden eingestellt ist, werden Benutzer mitten in der Sitzung zur Splash-Page weitergeleitet. Stellen Sie beide auf denselben Wert ein.

Deaktivieren Sie die MAC-Randomisierung für PPSK-Bereitstellungen. iOS- und macOS-Geräte verwenden standardmäßig private WiFi-Adressen (randomisierte MACs). Da DrayTek PPSK eine Passphrase an eine bestimmte MAC-Adresse bindet, führt die Randomisierung zu Authentifizierungsfehlern. Weisen Sie Benutzer an, diese Einstellung für Ihr Netzwerk zu deaktivieren, oder dokumentieren Sie den Prozess klar in Ihrem Onboarding-Flow.

Nutzen Sie Band Steering auf VigorAPs. Aktivieren Sie Band Steering, um dualbandfähige Geräte auf das 5-GHz-Band zu leiten. Dies reduziert die Überlastung im 2,4-GHz-Band und verbessert den Durchsatz für alle verbundenen Geräte.

Für einen umfassenderen Überblick über die Sicherheitsarchitektur von Unternehmens-WLANs lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 . Wenn Sie die Bereitstellung über mehrere Standorte mit unterschiedlichen Hardware-Herstellern hinweg durchführen, deckt unser Leitfaden SonicWall TZ and SonicWave Integration with Purple WiFi ein vergleichbares Integrationsmuster ab.

Fehlerbehebung und Risikominderung

Die Splash-Page lädt nicht. Die häufigste Ursache ist ein unvollständiger Walled Garden. Überprüfen Sie, ob alle erforderlichen Purple-Domains auf der Registerkarte „Dest Domain“ aufgeführt sind. Bestätigen Sie außerdem, dass der DHCP-Pool für Gäste aktiv ist und die DNS-Auflösung für vorauthentifizierte Clients funktioniert. Testen Sie dies, indem Sie ein Gerät verbinden und versuchen, eine bekannte HTTP-URL aufzurufen.

RADIUS-Authentifizierung schlägt fehl. Überprüfen Sie das Shared Secret auf Tippfehler – es wird zwischen Groß- und Kleinschreibung unterschieden. Vergewissern Sie sich, dass der DrayTek-Router eine Verbindung zum Internet hat und den ausgehenden UDP-Verkehr auf den Ports 1812 und 1813 nicht blockiert. Bestätigen Sie, dass Sie den Router nach dem Anwenden der RADIUS-Konfiguration neu gestartet haben. Überprüfen Sie das Purple-Dashboard auf Authentifizierungsprotokolle, um festzustellen, ob die Anfrage die Server von Purple erreicht.

Clients dem falschen VLAN zugewiesen. Überprüfen Sie die Trunk-Port-Konfiguration zwischen dem DrayTek-Router und den VigorAPs. Die Switch-Ports müssen die spezifischen VLAN-Tags zulassen. Wenn Sie einen unverwalteten Switch verwenden, stellen Sie sicher, dass dieser 802.1Q-getaggte Frames weiterleitet, ohne die Tags zu entfernen. Überprüfen Sie das PPSK-Profil, um die korrekte Zuordnung von Passphrase zu VLAN zu bestätigen.

Sticky Clients roamen nicht. Wenn Geräte nicht wie erwartet zwischen den VigorAPs roamen, überprüfen Sie, ob AP-Assisted Mobility aktiviert ist und der RSSI-Schwellenwert für Ihren Standort angemessen eingestellt ist. Bestätigen Sie außerdem, dass auf allen VigorAPs dieselbe Firmware-Version ausgeführt wird, da Inkonsistenzen das Roaming-Verhalten beeinträchtigen können.

iOS-Geräte schlagen bei der PPSK-Authentifizierung fehl. Bestätigen Sie, dass der Benutzer die private WiFi-Adresse für Ihr spezifisches Netzwerk unter Einstellungen > WiFi > [Netzwerkname] > Private WiFi-Adresse deaktiviert hat. Das PPSK-Profil muss die echte Hardware-MAC-Adresse des Geräts enthalten.

ROI und geschäftliche Auswirkungen

Die Bereitstellung von DrayTek-Hardware mit Purple liefert messbare Erträge in drei Bereichen: betriebliche Effizienz, Datenerfassung und Compliance.

Betriebliche Effizienz. Die 802.1X-Authentifizierung eliminiert den Aufwand für die Verwaltung gemeinsam genutzter WiFi-Passwörter. Wenn ein Mitarbeiter das Unternehmen verlässt, deaktivieren Sie sein Konto in Microsoft Entra ID, Okta oder Google Workspace. Der RADIUS-Server von Purple akzeptiert dessen Anmeldedaten sofort nicht mehr. Keine standortweite Passwortänderung erforderlich. Für eine Einzelhandelskette mit 50 Standorten spart dies allein Hunderte von Stunden an IT-Aufwand pro Jahr.

Datenerfassung und Marketing-ROI. Jeder Gast, der sich über das Purple Captive Portal verbindet, gibt eine verifizierte Identität an – E-Mail-Adresse, Telefonnummer oder Social-Media-Profil. Diese First-Party-Daten fließen direkt in die WiFi Analytics -Plattform von Purple ein, auf der Sie Verweildauer, Wiederholungsbesuchsraten und Kampagnen-Engagement verfolgen können. Purple hat in seinem gesamten Netzwerk 29 Milliarden Datenpunkte gesammelt. Standorte, die den Engage-Tarif von Purple nutzen, berichten von messbaren Steigerungen der Wiederholungsbesuchsraten durch gezielte Kommunikation nach dem Besuch.

Compliance. Purple ist ISO 27001-zertifiziert, GDPR- und CCPA-konform sowie Cyber Essentials-zertifiziert. Das Captive Portal erzwingt bewusste Opt-ins und stellt sicher, dass die Datenerfassung den GDPR-Anforderungen entspricht. Die VLAN-Segmentierung isoliert Zahlungskartenumgebungen vom Gästeverkehr und unterstützt so die PCI-DSS-Compliance. Für Gesundheitseinrichtungen entspricht die Netzwerkisolation von Patienten und Besuchern den Richtlinien von NHS und ICO zur Datenverarbeitung.

Für eine detaillierte Ansicht darüber, wie Purple datengestützte Entscheidungen in Veranstaltungs- und Standortumgebungen ermöglicht, lesen Sie unsere WiFi Analytics-Plattformübersicht .

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die den HTTP-Verkehr eines Benutzers abfängt und eine Interaktion – wie Login, Zustimmung zu den Nutzungsbedingungen oder Dateneingabe – erfordert, bevor der Netzwerkzugriff gewährt wird.

Der Mechanismus, den Purple verwendet, um First-Party-Gästedaten auf dem DrayTek Hotspot Web Portal zu erfassen. Konfiguriert über die Portal-Methode „External Server“ in DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung (AAA) für den Netzwerkzugriff bereitstellt.

Der DrayTek Router sendet Authentifizierungsanfragen an den RADIUS-Server von Purple auf UDP-Port 1812 und Accounting-Daten auf Port 1813. Das Shared Secret muss auf beiden Seiten übereinstimmen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Erfordert, dass sich Geräte an einem RADIUS-Server authentifizieren, bevor ihnen Netzwerkzugriff gewährt wird.

Wird für Staff WiFi auf DrayTek-Hardware verwendet. Eliminiert gemeinsam genutzte Passwörter und ermöglicht den Entzug des Zugriffs pro Benutzer über den Identitätsanbieter.

VLAN

Virtual Local Area Network. Ein logisches Netzwerksegment, das den Datenverkehr auf Layer 2 isoliert, selbst wenn Geräte dieselbe physische Infrastruktur nutzen.

Wird auf DrayTek Vigor Routern verwendet, um den Datenverkehr von Gästen, Mitarbeitern und Mietern zu trennen. Erfordert 802.1Q-Trunk-Ports zwischen dem Router und den VigorAPs.

Walled Garden

Eine Reihe von Domains oder IP-Bereichen, auf die nicht authentifizierte Benutzer zugreifen können, bevor sie den Captive Portal-Prozess abgeschlossen haben.

Konfiguriert im Reiter „Dest Domain“ des DrayTek Hotspot-Profils. Muss die Authentifizierungsserver von Purple und alle für die Anmeldung verwendeten Domains von Identitätsanbietern enthalten.

PPSK

Private Pre-Shared Key. Eine Sicherheitsmethode, bei der jedem Benutzer oder Gerät eine eindeutige Passphrase zugewiesen wird, anstatt ein einziges Netzwerkpasswort zu teilen.

Wird auf DrayTek VigorAPs verwendet, um Multi-Tenant-Geräte bestimmten VLANs zuzuweisen. Die Passphrase ist an die MAC-Adresse des Geräts gebunden.

AP-Assisted Mobility

Eine Funktion von DrayTek VigorAP, die die Signalstärke von Clients überwacht und Clients unterhalb eines definierten RSSI-Schwellenwerts aktiv trennt, um sie zum Roaming zu einem näheren Access Point zu bewegen.

Kritisch für Bereitstellungen im Einzelhandel und in der Hotellerie, bei denen sich Benutzer durch den Standort bewegen. Verhindert das Verhalten von Sticky Clients, das zu Abbrüchen von Captive Portal-Sitzungen führt.

PEAP

Protected Extensible Authentication Protocol. Eine 802.1X-EAP-Methode, die den Authentifizierungsaustausch in einem TLS-Tunnel kapselt und so die Anmeldedaten bei der Übertragung schützt.

Die EAP-Methode, die für Staff WiFi auf DrayTek-Hardware verwendet wird. Kombiniert mit MS-CHAPv2 als innere Authentifizierungsmethode für Windows-, macOS-, iOS- und Android-Geräte.

Dynamische VLAN-Zuweisung

Ein Mechanismus, bei dem der RADIUS-Server VLAN-Attribute in der Access-Accept-Nachricht zurückgibt und das Netzwerkgerät den authentifizierten Client automatisch dem angegebenen VLAN zuweist.

Der RADIUS-Server von Purple gibt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID zurück. Der DrayTek Router wendet die VLAN-Zuweisung basierend auf der Benutzeridentität an.

Ausgearbeitete Beispiele

Ein Boutique-Hotel mit 150 Zimmern stellt einen DrayTek Vigor 2865 Router mit sechs VigorAP 903 Access Points bereit. Es soll ein gebrandetes Guest WiFi mit Datenerfassung, ein sicheres Staff WiFi für 40 Mitarbeiter und ein isoliertes Netzwerk für ein gepachtetes Restaurant im Erdgeschoss bereitgestellt werden. Der IT-Manager des Hotels hat noch nie zuvor 802.1X konfiguriert.

Der IT-Manager erstellt drei VLANs auf dem Vigor 2865: VLAN 10 für Gäste (192.168.10.0/24), VLAN 20 für Mitarbeiter (192.168.20.0/24) und VLAN 30 für das Restaurant (192.168.30.0/24). Das Inter-LAN-Routing ist zwischen allen drei Segmenten deaktiviert. Alle sechs VigorAP 903-Einheiten sind über Ethernet verbunden und werden über das Central AP Management auf dem Router verwaltet. Es werden drei SSIDs ausgestrahlt: „Hotel Guest“ (VLAN 10, Hotspot Web Portal verweist auf Purple), „Hotel Staff“ (VLAN 20, WPA2/802.1X verweist auf Purple RADIUS) und „Restaurant“ (VLAN 30, WPA2-PPSK mit einer für die POS-Geräte des Restaurants spezifischen Passphrase). Der PPSK-Eintrag des Restaurants bindet die POS-MAC-Adressen an VLAN 30. Der IT-Manager registriert den Microsoft Entra ID-Mandanten des Hotels bei Purple, sodass sich die Mitarbeiter mit ihren bestehenden Unternehmensanmeldedaten authentifizieren können. Der Walled Garden wird mit allen erforderlichen Purple-Domains konfiguriert. Nach dem Neustart des Routers testet der IT-Manager jede SSID und bestätigt die korrekte VLAN-Zuweisung über die DHCP-Lease-Tabelle des Routers.

Kommentar des Prüfers: Diese Konfiguration trennt drei verschiedene Benutzergruppen korrekt und verwendet für jede die am besten geeignete Authentifizierungsmethode. Gäste nutzen ein Captive Portal zur Datenerfassung und für den GDPR-konformen Opt-in. Mitarbeiter nutzen 802.1X für den anmeldedatenbasierten Zugriff, der an ihren bestehenden Identitätsanbieter gekoppelt ist, wodurch ein separates Passwort überflüssig wird. Das Restaurant nutzt PPSK, um POS-Geräte zu isolieren, ohne dass eine 802.1X-Client-Konfiguration auf Headless-Hardware erforderlich ist. Der kabelgebundene Backhaul stellt sicher, dass VLAN-Tags durchgehend erhalten bleiben.

Eine Einzelhandelskette mit 80 Filialen verzeichnet schlechte Abschlussraten beim Captive Portal. Analysen zeigen, dass 40 % der Käufer, die sich mit der Guest WiFi SSID verbinden, die Splash-Page nie erreichen. Die Kette verwendet DrayTek Vigor 2865 Router und VigorAP 912C Access Points. Die Filiallayouts sind groß, mit Access Points an beiden Enden der Verkaufsfläche.

Der Netzwerkadministrator untersucht zwei Hauptursachen. Erstens prüfen sie die Walled Garden-Konfiguration an allen 80 Standorten mithilfe von VigorACS 3, der zentralen Management-Plattform von DrayTek. Sie stellen fest, dass an 23 Standorten zwei der erforderlichen Purple-Authentifizierungsdomains fehlen, was bei Käufern in diesen Netzwerken zu einem Timeout der Splash-Page führt. Sie aktualisieren die Hotspot-Profile zentral über VigorACS 3. Zweitens aktivieren sie AP-Assisted Mobility auf allen VigorAPs mit einem RSSI-Schwellenwert von -75 dBm. Dies zwingt die Geräte der Käufer, zum nächstgelegenen AP zu wechseln (Roaming), wenn sie sich durch die Filiale bewegen, und verhindert das Problem des „Sticky Client“, das dazu führte, dass Captive Portal-Sitzungen während der Authentifizierung abgebrochen wurden. Nach beiden Änderungen steigt die Abschlussrate des Portals im gesamten Bestand von 60 % auf 89 %.

Kommentar des Prüfers: Dieses Beispiel veranschaulicht zwei verschiedene Fehlermodi, die sich beide in niedrigen Portal-Abschlussraten äußern. Eine Fehlkonfiguration des Walled Gardens verhindert das Laden der Splash-Page vollständig. Das Verhalten von Sticky Clients führt zu Sitzungsabbrüchen mitten im Prozess. Das zentrale Management über VigorACS 3 ist der richtige Ansatz für einen Standortverbund – die manuelle Überprüfung von 80 einzelnen Routern wäre unpraktisch. AP-Assisted Mobility ist der DrayTek-spezifische Mechanismus, der das Roaming-Problem löst; sich auf clientseitige Roaming-Entscheidungen zu verlassen, ist in Einzelhandelsumgebungen unzuverlässig.

Übungsfragen

Q1. Sie haben das DrayTek Hotspot Web Portal konfiguriert und auf die Purple-Zugriffs-URL verwiesen. Die RADIUS-Einstellungen sind korrekt. Wenn sich Clients jedoch mit der Guest WiFi SSID verbinden, melden ihre Browser ein Verbindungs-Timeout und die Splash-Page wird nie geladen. Was ist die wahrscheinlichste Ursache und was ist der erste Schritt zur Diagnose?

Hinweis: Clients im Zustand vor der Authentifizierung haben einen stark eingeschränkten Netzwerkzugriff. Überlegen Sie, welchen Datenverkehr der Router zulässt, bevor die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist eine unvollständige oder fehlende Walled Garden-Konfiguration. Der DrayTek Router blockiert den gesamten Datenverkehr von nicht authentifizierten Clients, außer zu Domains, die explizit im Reiter „Dest Domain“ aufgeführt sind. Wenn die Authentifizierungsdomains von Purple nicht aufgeführt sind, kann der Browser des Clients den Splash-Page-Server nicht erreichen. Der erste Diagnoseschritt besteht darin, zum Hotspot-Profil zu navigieren, zum Reiter „Dest Domain“ zu wechseln und zu überprüfen, ob alle erforderlichen Purple-Domains vorhanden sind. Gleichen Sie dies mit der Walled Garden Domain Whitelist von Purple in der Support-Dokumentation ab. Eine zweite Überprüfung besteht darin, sicherzustellen, dass die DNS-Auflösung für vorauthentifizierte Clients korrekt funktioniert.

Q2. Ein Coworking-Standort verfügt über 12 Mitgliedsunternehmen, die sich einen einzigen DrayTek Vigor 2865 und vier VigorAP 912C Access Points teilen. Jedes Unternehmen muss von den anderen isoliert sein, aber der Standortleiter möchte nur eine einzige SSID ausstrahlen, um die WiFi-Liste auf den Geräten der Mitglieder nicht zu überladen. Wie entwerfen Sie diese Architektur?

Hinweis: Überlegen Sie, wie DrayTek eindeutige Passphrasen auf einer einzigen SSID handhabt und welche zusätzliche Konfiguration erforderlich ist, um die Isolierung zwischen Unternehmen zu erzwingen.

Musterlösung anzeigen

Konfigurieren Sie WPA2-PPSK auf den VigorAPs mit einer einzigen SSID. Erstellen Sie 12 VLANs auf dem Vigor 2865, eines pro Unternehmen. Erstellen für jedes Unternehmen einen PPSK-Eintrag, der eine eindeutige Passphrase an die MAC-Adressen der Geräte dieses Unternehmens bindet und sie dem dedizierten VLAN zuweist. Deaktivieren Sie das Inter-VLAN-Routing in der Inter-LAN-Routing-Tabelle, um firmenübergreifenden Datenverkehr zu verhindern. Die Geräte jedes Unternehmens verbinden sich mit derselben SSID unter Verwendung ihrer eindeutigen Passphrase, und der VigorAP ordnet sie automatisch ihrem isolierten VLAN zu. Für Unternehmen mit mehreren Geräten benötigt jedes Gerät einen eigenen PPSK-Eintrag mit seiner spezifischen MAC-Adresse und der gemeinsam genutzten Unternehmens-Passphrase.

Q3. Nach einem routinemäßigen Firmware-Update auf einem DrayTek Vigor 2865 berichten Mitarbeiter, dass sich ihre Laptops nicht mehr mit der Staff WiFi SSID verbinden können. Die SSID is sichtbar, aber die Authentifizierung schlägt fehl. Das Guest WiFi funktioniert weiterhin normal. Was sind die drei wahrscheinlichsten Ursachen und in welcher Reihenfolge sollten Sie diese untersuchen?

Hinweis: Das Guest WiFi verwendet einen anderen Authentifizierungsmechanismus als das Staff WiFi. Grenzen Sie ein, welche Schicht des 802.1X-Stacks fehlerhaft ist.

Musterlösung anzeigen

Die drei wahrscheinlichsten Ursachen sind: (1) Das Firmware-Update hat die RADIUS-Serverkonfiguration für die WPA2/802.1X-SSID zurückgesetzt – navigieren Sie zu Wireless LAN > Security, bestätigen Sie, dass die RADIUS-Server-IP und das Shared Secret noch korrekt sind, und starten Sie das Gerät neu, falls Sie Änderungen vornehmen. (2) Das Firmware-Update hat die EAP-Methode oder die RADIUS-Port-Einstellungen geändert – überprüfen Sie, ob Port 1812 noch konfiguriert ist und ob der Router den RADIUS-Server von Purple auf diesem Port erreichen kann. (3) Das Firmware-Update hat eine Zertifikatsänderung eingeführt, die dazu führt, dass die EAP-TLS-Validierung auf Client-Geräten fehlschlägt – überprüfen Sie das Purple-Dashboard auf Authentifizierungsprotokolleinträge, um zu sehen, ob Anfragen den Server erreichen. Untersuchen Sie in dieser Reihenfolge: Zuerst die RADIUS-Konfiguration (am häufigsten nach einem Firmware-Update), dann die Netzwerkverbindung zum RADIUS-Server und schließlich Probleme mit Zertifikaten oder EAP-Methoden.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Cisco WLC and Catalyst Integration with Purple WiFi: Step-by-Step Guest Access Guide

Diese Anleitung beschreibt die schrittweise Integration von Cisco WLC und Catalyst 9800 Wireless mit Purple. Sie umfasst die Weiterleitung zum Guest WiFi Captive Portal über Central Web Authentication, sicheres Mitarbeiter-WiFi mittels 802.1X EAP-TLS sowie Multi-Tenant-Segmentierung über Cisco Identity Pre-Shared Keys (iPSK) mit dynamischer VLAN-Zuweisung. Sie richtet sich an Netzwerkarchitekten in Unternehmen und IT-Sicherheitsverantwortliche, die Cisco-Infrastrukturen im Gastgewerbe, im Einzelhandel und in großen öffentlichen Veranstaltungsorten bereitstellen.

OpenWrt Custom Firmware Integration with Purple WiFi

Dieses Handbuch bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Es deckt die Konfiguration des CoovaChilli Captive Portal, die Verwaltung des iptables Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X mit hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab. Damit erhalten IT-Teams die genauen Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.