Alta Labs Integration mit Purple WiFi: Einrichtung und Captive Portal Konfiguration

Dieses technische Referenzhandbuch deckt die End-to-End-Integration von Alta Labs AP6 und AP6 Pro Access Points mit dem in der Cloud gehosteten Captive Portal von Purple ab. Es beschreibt die Konfiguration externer Weiterleitungen, RADIUS-Authentifizierung, Walled-Garden-Anforderungen und mandantenfähige Segmentierung mithilfe von AltaPass Private Pre-Shared Keys. Betreiber von Veranstaltungsorten und IT-Teams erhalten einen wiederholbaren Bereitstellungsleitfaden für das Gastgewerbe, den Einzelhandel und Smart-Office-Umgebungen.

📖 8 Min. Lesezeit📝 1,844 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

PODCAST-SKRIPT: Alta Labs Integration mit Purple WiFi: Einrichtung und Captive Portal Konfiguration
Purple WiFi Intelligence Platform - Technische Briefing-Reihe
Dauer: Ca. 10 Minuten
Stimme: Britisches Englisch, Tonfall eines Senior Consultants – selbstbewusst, locker, autoritär

---

[INTRO - 1 MINUTE]

Willkommen zur technischen Briefing-Reihe von Purple. Ich bin Ihr Moderator, und heute analysieren wir die Integration zwischen den Access Points von Alta Labs und der Purple WiFi Intelligence Platform.

Wenn Sie IT-Manager, Netzwerkarchitekt oder Betriebsleiter eines Veranstaltungsortes sind und eine robuste, skalierbare Gäste-WiFi-Lösung bereitstellen möchten, ist dieses Briefing genau das Richtige für Sie. Wir werden die spezifische Einrichtung für die Alta Labs AP6 und AP6 Pro behandeln, wie Sie die externe Captive Portal-Weiterleitung konfigurieren und welche kritischen Walled-Garden-Einstellungen erforderlich sind, damit Social Logins in der Praxis auch tatsächlich funktionieren. Wir werden uns auch mit AltaPass befassen – der Implementierung von Private Pre-Shared Keys oder PPSK von Alta Labs – und wie Sie damit mandantenfähige Umgebungen segmentieren können, ohne Ihre HF-Leistung durch zu viele SSIDs zu beeinträchtigen.

Legen wir los.

---

[TECHNICAL DEEP-DIVE - 5 MINUTES]

Die Integration zwischen Alta Labs und Purple basiert auf zwei grundlegenden Netzwerkkonzepten: HTTP-Weiterleitung für das Captive Portal und RADIUS für Authentifizierung und Abrechnung.

Wenn ein Gast Ihren Veranstaltungsort betritt – beispielsweise ein Einzelhandelsgeschäft oder eine Hotellobby – und sich mit Ihrem offenen oder WPA3-OWE-Gästenetzwerk verbindet, fungiert der Alta Labs AP als Gatekeeper. Er fängt die ersten HTTP-Anfragen des Clients ab und leitet sie auf Ihre gebrandete Purple-Splash-Page weiter.

Um dies in der Alta Labs Cloud-Management-Plattform zu konfigurieren, navigieren Sie zu Ihren WiFi-Einstellungen, wählen Ihre Gäste-SSID aus und stellen unter den erweiterten Einstellungen den Netzwerktyp auf „Guest“. Dies ist wichtig, da dadurch automatisch die Client-Isolierung angewendet wird, was verhindert, dass Geräte seitlich über das Netzwerk kommunizieren. Als Nächstes wählen Sie im Bereich „Hotspot“ die Option „External“ und fügen die in Ihren Standorteinstellungen bereitgestellte Purple-Weiterleitungs-URL zusammen mit Ihrem Autorisierungs-Geheimnis ein.

Aber hier stoßen die meisten Bereitstellungen auf ein Hindernis: den Walled Garden.

Der Walled Garden ist die Liste der Domains und IP-Adressen, auf die ein Gerät zugreifen darf, bevor es sich authentifiziert hat. Wenn sich Gäste über Google, Facebook oder Apple anmelden sollen, müssen ihre Geräte diese OAuth-Server erreichen können, während sie sich noch im nicht authentifizierten Zustand befinden.

Sie müssen die Infrastruktur-Domains von Purple – wie region1.purpleportal.net und cloudfront.net – explizit auf die Whitelist setzen. Dann müssen Sie die Captive Portal-Abfragen der Betriebssysteme hinzufügen: captive.apple.com für iOS und connectivitycheck.gstatic.com for Android. Wenn Sie diese blockieren, weiß das Telefon nicht, dass es sich hinter einem Captive Portal befindet, und die Splash-Page wird nie angezeigt.

Schließlich fügen Sie die Social-Login-Domains hinzu. Für Google sind das accounts.google.com, oauth2.googleapis.com und gstatic.com. Für Facebook sind es facebook.com, graph.facebook.com und die fbcdn.net-Domains. Eine statische IP-Whitelist funktioniert hier nicht, da diese Anbieter dynamische Content Delivery Networks nutzen. Sie müssen Domainnamen verwenden und sicherstellen, dass Ihr Controller eine dynamische DNS-Auflösung durchführt.

Sobald der Benutzer die Anmeldung auf der Purple-Splash-Page abgeschlossen hat, sendet der RADIUS-Server von Purple eine Access-Accept-Nachricht zurück an den Alta Labs AP. Der AP hebt daraufhin die Walled-Garden-Beschränkung auf und gewährt dem Gerät vollen Internetzugang. Das ist ein sauberer, sicherer Ablauf, der First-Party-Daten erfasst und gleichzeitig die Netzwerkintegrität wahrt.

Sprechen wir nun über die mandantenfähige Segmentierung.

In Umgebungen wie Smart Offices, Studentenwohnheimen oder Mehrfamilienhäusern müssen Sie oft sichere, isolierte Netzwerke für verschiedene Gruppen bereitstellen. In der Vergangenheit haben IT-Teams für jeden Mandanten eine eigene SSID ausgestrahlt. Das ist eine schlechte Praxis. Es verursacht einen enormen Verwaltungsaufwand und zerstört Ihre Wireless-Leistung aufgrund des Overheads durch Beacon-Frames.

Alta Labs löst dies mit AltaPass, ihrer Version von Private Pre-Shared Keys. Mit AltaPass strahlen Sie eine einzige SSID aus – nennen wir sie BuildingWiFi. Sie generieren jedoch eindeutige Passwörter für verschiedene Benutzer oder Geräte.

Wenn Mandant A sein spezifisches Passwort eingibt, weist der AP ihn dynamisch dem VLAN 101 mit einem Bandbreitenlimit von 100 Megabit zu. Wenn das Management-Team sein Passwort auf derselben SSID eingibt, landet es im VLAN 200 mit unbegrenzter Bandbreite. Sie können sogar ein Passwort für IoT-Geräte wie intelligente Thermostate erstellen, das diese einem isolierten VLAN zuweist und das Captive Portal komplett umgeht.

Eine SSID. Unbegrenzte Passwörter. Vollständige Isolierung. Das ist Identity-Based Networking an der Edge, und es ist eine wirklich elegante Lösung für ein Problem, das mandantenfähige Bereitstellungen seit Jahren plagt.

Lassen Sie mich Ihnen ein konkretes Beispiel aus der Praxis geben. Denken Sie an einen Wohnkomplex mit 72 Einheiten – ein realer Bereitstellungstyp, für den Alta Labs bereits ausgiebig genutzt wurde. Anstatt 72 separate SSIDs auszustrahlen, erstellt der Netzwerkadministrator eine einzige SSID und generiert ein eindeutiges Passwort für jede Einheit. Jedes Passwort ist einem dedizierten VLAN und Subnetz zugeordnet. Bewohner im Basistarif erhalten 100 Megabit. Bewohner, die für den Premiumtarif bezahlt haben, erhalten 300 Megabit. Das Gebäudemanagement-Team erhält uneingeschränkten Zugriff. Die Gebäudeautomatisierung – Türschlösser, HLK, Aufzüge – erhält ihr eigenes isoliertes VLAN mit aktivierter Deep Packet Inspection. Alles über eine einzige SSID. Die HF-Umgebung ist sauberer, die Leistung ist höher und die Verwaltung ist drastisch einfacher.

Kommen wir nun zur 802.1X-Konfiguration für sicheres Personal-WiFi.

Für Ihr Personalnetzwerk sollten Sie überhaupt keinen Pre-Shared Key verwenden. Sie sollten WPA2 oder WPA3 Enterprise mit 802.1X-Authentifizierung nutzen. In der Alta Labs-Plattform konfigurieren Sie dies, indem Sie Ihre Personal-SSID auswählen, den Sicherheitsmodus auf WPA2-Enterprise oder WPA3-Enterprise einstellen und den AP auf Ihren RADIUS-Server verweisen.

Wenn Sie das Produkt SecurePass von Purple integrieren, fungiert Purple als RADIUS-Vermittler, der sich mit Ihrem Identitätsanbieter verbindet – sei es Microsoft Entra ID, Okta oder Google Workspace – und die entsprechende VLAN-Zuweisung in der Access-Accept-Nachricht zurückgibt. Der Alta Labs AP liest das Attribut Tunnel-Private-Group-Id aus der RADIUS-Antwort und platziert das Gerät automatisch im richtigen VLAN.

Ein wichtiger Hinweis zur dynamischen VLAN-Zuweisung bei Alta Labs: Wenn Sie RADIUS-zugewiesene VLANs konfigurieren, stellen Sie das Standard-VLAN auf der SSID auf VLAN 1 ein oder lassen Sie es ungetaggt. Es gibt ein bekanntes Verhalten, bei dem der AP das RADIUS-zugewiesene VLAN mit dem konfigurierten Standardwert überschreiben kann, wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist. Die Einstellung des Standards auf VLAN 1 stellt sicher, dass die RADIUS-Zuweisung Vorrang hat.

---

[IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - 2 MINUTES]

Wenn Sie dies einführen, gibt es einige wichtige Empfehlungen, die ich hervorheben möchte.

Erstens: Testen Sie Ihren Captive Portal-Flow immer mit einem neuen Gerät. Verwenden Sie nicht Ihr eigenes Telefon, wenn Sie sich während der Tests bereits mit dem Netzwerk verbunden haben. Ihr Gerät erinnert sich an die MAC-Adressen-Autorisierung oder verfügt über zwischengespeicherte DNS-Einträge, was Fehler im Walled Garden maskiert. Nehmen Sie ein Tablet, das das Netzwerk noch nie gesehen hat, verbinden Sie es und überprüfen Sie, ob der Captive Portal-Assistent des Betriebssystems automatisch startet.

Zweitens: Achten Sie darauf, nicht zu viel auf die Whitelist zu setzen. Ich sehe oft, dass Techniker sich über Social-Login-Fehler ärgern und einfach ganze Wildcard-Domains oder riesige IP-Blöcke auf die Whitelist setzen. Dies schafft eine Sicherheitslücke, über die versierte Benutzer Ihr Captive Portal komplett umgehen können. Beschränken Sie sich auf die spezifischen Domains, die für den OAuth-Flow erforderlich sind.

Drittens: Wenn Sie AltaPass PPSK mit dynamischen VLANs bereitstellen, stellen Sie sicher, dass Ihre gesamte Switching-Infrastruktur korrekt konfiguriert ist. Die Switch-Ports, die mit Ihren Alta Labs APs verbunden sind, müssen als Trunks konfiguriert sein, damit alle getaggten VLANs zum Gateway durchgelassen werden. Wenn der AP den Datenverkehr für VLAN 101 taggt, der Switch-Port jedoch im Access-Modus auf VLAN 1 konfiguriert ist, wird der Datenverkehr verworfen und der Client erhält keine IP-Adresse.

Viertens: Führen Sie eine vierteljährliche Überprüfung Ihrer Walled-Garden-Konfiguration durch. OAuth-Anbieter und Content Delivery Networks ändern ihre Domainstrukturen. Apple hat seine Anmelde-Domains im Jahr 2023 zweimal aktualisiert. Ein Walled Garden, der bei der Bereitstellung korrekt war, wird ohne aktive Wartung mit der Zeit fehlerhaft.

---

[RAPID-FIRE Q&A - 1 MINUTE]

Gehen wir kurz ein paar Fragen durch, die uns in der Praxis häufig gestellt werden.

Frage eins: Kann ich WPA3 mit dem Purple Captive Portal auf Alta Labs-Hardware verwenden?

Ja. Sie sollten WPA3-OWE verwenden, was für Opportunistic Wireless Encryption steht. Dies verschlüsselt die Daten über die Luft und schützt die Privatsphäre der Gäste, während es gleichzeitig als offenes Netzwerk fungiert, das die Captive Portal-Weiterleitung auslöst. Es ist die richtige Wahl für jede neue Gäste-WiFi-Bereitstellung im Jahr 2026.

Frage zwei: Welche Ports muss ich auf meiner Firewall für den RADIUS-Verkehr öffnen?

Die RADIUS-Server von Purple kommunizieren über den UDP-Port 1812 für die Authentifizierung und den UDP-Port 1813 für die Abrechnung. Stellen Sie sicher, dass Ihre Edge-Firewall ausgehenden Datenverkehr auf diesen Ports von den Alta Labs APs zur Purple-Infrastruktur zulässt.

Frage drei: Kann ich AltaPass PPSK zusammen mit dem Purple Captive Portal auf derselben SSID verwenden?

Ja, und das ist tatsächlich eine sehr nützliche Konfiguration. Sie können ein AltaPass-Passwort erstellen, das das Captive Portal für bekannte Geräte – wie Ihre Point-of-Sale-Terminals oder digitale Beschilderungen – umgeht, während Standardverbindungen mit derselben SSID weiterhin über die Purple-Splash-Page geleitet werden. Dadurch erhalten Sie eine einzige, saubere SSID, die sowohl authentifizierte Geräte als auch Gastbenutzer bedient.

---

[SUMMARY AND NEXT STEPS - 1 MINUTE]

Zusammenfassend lässt sich sagen: Die Integration von Alta Labs mit Purple WiFi bietet Ihnen eine sichere, skalierbare Plattform zur Erfassung von First-Party-Daten und zur Bereitstellung eines gebrandeten Gästeerlebnisses.

Denken Sie an die drei Säulen einer erfolgreichen Bereitstellung. Konfigurieren Sie erstens die externe Hotspot-Weiterleitung und die RADIUS-Einstellungen in der Alta Labs Cloud-Management-Plattform präzise. Definieren Sie zweitens Ihre Walled-Garden-Domains akribisch, um sicherzustellen, dass Betriebssystem-Abfragen und Social Logins korrekt funktionieren. Und drittens nutzen Sie AltaPass PPSK, um Identity-Based Networking zu implementieren und Ihren Datenverkehr zu segmentieren, ohne Ihren Luftraum mit unnötigen SSIDs zu belasten.

Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Anmeldungen verarbeitet. Die Plattform ist ISO 27001-zertifiziert, GDPR-konform und so konzipiert, dass sie von einem einzelnen Boutique-Hotel bis hin zu einem nationalen Einzelhandelsnetzwerk skaliert werden kann. Wenn Sie dies mit der Leistung und Flexibilität der Alta Labs-Hardware kombinieren, erhalten Sie einen überzeugenden Enterprise-WiFi-Stack.

Wenn Sie diesem Leitfaden folgen, werden Sie ein nahtloses, konformes WiFi-Erlebnis bereitstellen, mit dem sowohl Ihr Marketing-Team als auch Ihr Sicherheitsteam hochzufrieden sein werden.

Vielen Dank, dass Sie sich die technische Briefing-Reihe von Purple angehört haben. Bis zum nächsten Mal: Halten Sie Ihre Netzwerke sicher und Ihre Daten nutzbar.

Wichtigste Erkenntnisse

✓Alta Labs AP6 und AP6 Pro lassen sich über standardmäßige externe Captive Portal-Weiterleitung und RADIUS-Authentifizierung in Purple integrieren – es sind keine proprietären APIs erforderlich.
✓Ein korrekt konfigurierter Walled Garden ist das kritischste und am häufigsten falsch konfigurierte Element: Setzen Sie Purple-Domains, alle Captive Portal-Abfragen der Betriebssysteme und jeden von Ihnen aktivierten Social-Login-Anbieter auf die Whitelist.
✓Eine dynamische DNS-Auflösung ist für Walled-Garden-Einträge unerlässlich – statische IP-Whitelists für OAuth-Anbieter verlieren ihre Gültigkeit, wenn CDN-IP-Adressen rotieren.
✓AltaPass PPSK ermöglicht es einer einzigen SSID, mehrere Mandanten, Personalgruppen und IoT-Geräte mit isolierten VLANs und passwortspezifischen Bandbreitenrichtlinien zu bedienen.
✓Wenn Sie RADIUS-zugewiesene VLANs auf Alta Labs-Hardware verwenden, stellen Sie das Standard-VLAN der SSID auf 1 ein, um zu verhindern, dass der AP die RADIUS-Zuweisung überschreibt.
✓Testen Sie Captive Portal-Bereitstellungen immer mit neuen, nicht authentifizierten Geräten – bereits verbundene Geräte maskieren Fehler im Walled Garden und bei der Weiterleitung.
✓Der Purple- und Alta Labs-Stack erfüllt die Anforderungen an die PCI-DSS-Netzwerksegmentierung und die GDPR-Datenschutzpflichten, wodurch er sich für Einzelhandels- und Gastgewerbeumgebungen eignet, in denen Kartenzahlungen verarbeitet werden.

Management-Zusammenfassung

Alta Labs AP6 und AP6 Pro Access Points lassen sich über standardmäßige RADIUS-Authentifizierung und HTTP-Weiterleitung in das Cloud Captive Portal von Purple integrieren. Der AP fängt nicht authentifizierten Gästeverkehr ab, leitet ihn auf Ihre Purple-Splash-Page weiter und gewährt Zugriff, sobald der RADIUS-Server von Purple ein Access-Accept zurückgibt. Für mandantenfähige Umgebungen weist die AltaPass-Technologie von Alta Labs jedem verbindenden Gerät basierend auf dem verwendeten Passwort ein eindeutiges VLAN und eine Bandbreitenrichtlinie zu – es sind keine zusätzlichen SSIDs erforderlich. Dieser Leitfaden bietet Ihnen die genauen Konfigurationsschritte, Walled-Garden-Domainlisten und RADIUS-Parameter, um die Integration von Grund auf neu bereitzustellen. Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Anmeldungen verarbeitet (interne Purple-Daten). Die Hardware von Alta Labs eignet sich hervorragend für MSPs und Smart-Office-Installateure, die eine Segmentierung auf Enterprise-Niveau zu einem wettbewerbsfähigen Preis benötigen.

Technische Architektur

Die Integration erstreckt sich über drei Ebenen: die Cloud-Management-Plattform von Alta Labs, die AP6- oder AP6-Pro-Hardware an der Edge und die Cloud-Infrastruktur von Purple, die die Authentifizierung und Analysen übernimmt.

Wenn sich ein Gast mit der offenen oder WPA3-OWE-SSID verbindet, versetzt der AP das Gerät in einen eingeschränkten Zustand vor der Authentifizierung. Der gesamte ausgehende HTTP-Verkehr wird abgefangen und auf die URL der Purple-Splash-Page weitergeleitet. Das Gerät kann nur Domains erreichen, die explizit im Walled Garden aufgeführt sind, bis die Authentifizierung abgeschlossen ist. Sobald der Gast seine Anmeldedaten auf der Purple-Splash-Page übermittelt, sendet der RADIUS-Server von Purple ein Access-Accept an den AP, der die Einschränkung aufhebt und vollen Internetzugang gewährt. Purple protokolliert die Sitzungsdaten – Gerätetyp, Verweildauer, Anmeldemethode – und stellt sie im WiFi Analytics -Dashboard zur Verfügung.

Für Personal- und Back-of-House-Netzwerke verarbeitet dieselbe AP-Hardware die WPA2/WPA3-Enterprise (IEEE 802.1X)-Authentifizierung. Der AP fungiert als RADIUS-Client und leitet Authentifizierungsanfragen an die SecurePass-Infrastruktur von Purple weiter, die wiederum die Anmeldedaten mit Microsoft Entra ID, Okta oder Google Workspace abgleicht. Die RADIUS-Antwort Access-Accept enthält das Attribut Tunnel-Private-Group-Id, mit dem der AP das Gerät dynamisch im richtigen VLAN platziert.

Implementierungsleitfaden

Schritt 1: Standort und Hardware in Purple hinzufügen

Registrieren Sie die Bereitstellung in Purple, bevor Sie Änderungen am Alta Labs-Controller vornehmen.

Melden Sie sich im Purple-Verwaltungsportal an und navigieren Sie zu Management > Locations.
Wählen Sie Venues and Groups > Add venue und schließen Sie den Standort-Assistenten ab.
Wählen Sie in Ihrem Standort Hardware > Add hardware > Add new hardware.
Stellen Sie den Hardwaretyp auf WiFi AP ein und wählen Sie den entsprechenden AP-Typ aus.
Geben Sie die MAC-Adresse jedes Alta Labs AP6- oder AP6 Pro-Geräts ein.
Klicken Sie auf View Manual Online, um die IP-Adressen des RADIUS-Servers, die Ports und das Shared Secret für diesen Standort abzurufen. Notieren Sie sich diese Werte – Sie benötigen sie in Schritt 3.

Schritt 2: Gäste-SSID in Alta Labs konfigurieren

Melden Sie sich auf der Alta Labs Cloud-Management-Plattform unter manage.alta.inc an.

Navigieren Sie zu Settings > WiFi und wählen Sie die für den Gästezugang vorgesehene SSID aus.
Stellen Sie in den Advanced Settings den Netzwerktyp auf Guest ein. Dadurch wird die Client-Isolierung automatisch erzwungen.
Scrollen Sie zum Bereich Hotspot und wählen Sie External.
Fügen Sie in das Feld Redirect URL die URL der Purple-Splash-Page ein, die in den Hardware-Einstellungen Ihres Standorts bereitgestellt wurde (z. B. https://region1.purpleportal.net/access/).
Geben Sie das Authorisation Secret (RADIUS Shared Secret) aus Ihren Purple-Standorteinstellungen ein.
Klicken Sie auf Save.

Schritt 3: RADIUS-Authentifizierung konfigurieren

Sobald die externe Weiterleitung eingerichtet ist, konfigurieren Sie die RADIUS-Einstellungen, damit der AP mit der Authentifizierungsinfrastruktur von Purple kommunizieren kann.

Parameter	Wert
Primäre IP des Auth-Servers	In den Purple-Standorteinstellungen bereitgestellt
Authentifizierungs-Port	UDP 1812
Primäre IP des Accounting-Servers	In den Purple-Standorteinstellungen bereitgestellt
Accounting-Port	UDP 1813
Shared Secret	In den Purple-Standorteinstellungen bereitgestellt

Konfigurieren Sie für Hochverfügbarkeitsbereitstellungen den sekundären RADIUS-Server mit der von Purple bereitgestellten Backup-IP-Adresse.

Schritt 4: Walled Garden definieren

Der Walled Garden erlaubt den Zugriff auf bestimmte Domains, bevor die Authentifizierung abgeschlossen ist. Fehlende Einträge führen dazu, dass der Captive Portal-Flow unterbrochen wird oder Social Logins nicht geladen werden können. Tragen Sie die folgenden Domains in das Feld Additional Authorised Hosts / IPs in der Alta Labs Hotspot-Konfiguration ein.

Purple-Infrastruktur (erforderlich)

Domain	Zweck
`region1.purpleportal.net`	Hosting der Splash-Page
`venuewifi.com`	Purple-Weiterleitungsinfrastruktur
`cloudfront.net`	CDN für Portal-Assets

Betriebssystem-Sonden für Captive Portals (erforderlich)

Domain	Betriebssystem
`captive.apple.com`	iOS / macOS
`connectivitycheck.gstatic.com`	Android
`msftconnecttest.com`	Windows

Social Login (je nach aktiviertem Anbieter hinzufügen)

Anbieter	Domains
Google	`accounts.google.com`, `oauth2.googleapis.com`, `apis.google.com`, `gstatic.com`
Facebook	`facebook.com`, `graph.facebook.com`, `connect.facebook.net`, `*.fbcdn.net`
Apple	`appleid.apple.com`, `idmsa.apple.com`, `*.apple.com`

AltaPass PPSK und mandantenfähige Segmentierung

AltaPass ist die zum Patent angemeldete Implementierung von Private Pre-Shared Keys (PPSK) von Alta Labs. Sie ermöglicht es einer einzigen SSID, mehrere eindeutige Passwörter zu übertragen, mit jedem Passwort, das einem eigenen VLAN, einer Bandbreitenbegrenzung, einem Zeitplan und einer Hotspot-Bypass-Regel zugeordnet ist. Dadurch entfällt die Notwendigkeit, separate SSIDs für jeden Mieter, jede Mitarbeitergruppe oder jede Gerätekategorie auszustrahlen.

AltaPass im Alta Labs-Dashboard konfigurieren

Wählen Sie Ihre SSID aus und navigieren Sie zum Bereich Passwortverwaltung.
Klicken Sie auf die purplefarbene Netzwerktyp-Schaltfläche links neben jedem Passworteintrag.
Weisen Sie dem Passwort eine VLAN-ID zu. Clients, die sich mit diesem Passwort verbinden, werden dem angegebenen VLAN-Subnetz zugewiesen.
Legen Sie bei Bedarf Bandbreitenbegrenzungen (Upload und Download) pro Passwort fest.
Aktivieren oder deaktivieren Sie den Hotspot-Bypass pro Passwort. IoT-Geräte und POS-Terminals umgehen in der Regel das Captive Portal.
Wenden Sie bei Bedarf Zeitplanbeschränkungen an (z. B. Einschränkung des Internetzugangs für bestimmte Geräte außerhalb der Geschäftszeiten).

Für ein Wohngebäude mit 72 Einheiten bedeutet dies eine einzige SSID und mehr als 72 eindeutige Passwörter – eines pro Einheit, eines für die Verwaltung, eines für das Gebäudeautomationssystem. Jedes Passwort wird einem isolierten VLAN und Subnetz zugeordnet. Bewohner im Standard-Tarif erhalten 100 Mbit/s. Premium-Bewohner erhalten 300 Mbit/s. Das Gebäudemanagement-Team ist unbeschränkt. IoT-Geräte werden in einem dedizierten VLAN mit aktivierter Deep Packet Inspection isoliert. Dies ist das Bereitstellungsmodell, das die Anzahl der SSIDs von 72 auf eine reduziert.

Dynamische VLAN-Zuweisung über RADIUS

Bei 802.1X-Mitarbeiternetzwerken erfolgt die VLAN-Zuweisung über RADIUS-Attribute und nicht über PPSK. Die RADIUS-Access-Accept-Antwort muss Folgendes enthalten:

Attribut	Wert
`Tunnel-Type`	13 (VLAN)
`Tunnel-Medium-Type`	6 (IEEE-802)
`Tunnel-Private-Group-Id`	Ziel-VLAN-ID (z. B. "20")

Wichtig: Stellen Sie das Standard-VLAN auf der SSID auf VLAN 1 ein (oder lassen Sie es ungetaggt), wenn Sie über RADIUS zugewiesene VLANs verwenden. Wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist, überschreibt der AP möglicherweise die RADIUS-Zuweisung mit dem konfigurierten Standardwert. Dies ist ein bekanntes Verhalten in der aktuellen Firmware von Alta Labs.

Best Practices

Die folgenden Empfehlungen gelten für jede Alta Labs-Bereitstellung mit Purple, unabhängig von der Art des Standorts.

Verwenden Sie die dynamische DNS-Auflösung für Walled-Garden-Einträge. OAuth-Anbieter und CDNs rotieren IP-Adressen häufig. Eine statische IP-Whitelist verliert mit der Zeit ihre Gültigkeit. Konfigurieren Sie den Alta Labs-Controller so, dass er Walled-Garden-Domains dynamisch auflöst, und legen Sie eine DNS-TTL von mindestens 30 Sekunden fest, um eine übermäßige Abfragelast zu vermeiden.

Grenzen Sie den Walled Garden präzise ein. Setzen Sie nur die Domains auf die Whitelist, die für den Authentifizierungsfluss erforderlich sind. Zu großzügige Whitelists – insbesondere das Hinzufügen von Wildcard-Einträgen für große Domains – schaffen einen Bypass-Vektor, der den Zweck des Captive Portals untergräbt.

Testen Sie vor der Liveschaltung mit nicht authentifizierten Geräten. Verwenden Sie ein Gerät, das noch nie mit dem Netzwerk verbunden war. Zuvor authentifizierte Geräte verfügen möglicherweise über zwischengespeicherte MAC-Autorisierungen oder DNS-Einträge, die Fehler im Walled Garden maskieren. Gehen Sie jede Anmeldemethode durch, die Sie anbieten möchten.

Überprüfen Sie die Walled-Garden-Domains vierteljährlich. Apple, Google und Meta aktualisieren ihre OAuth-Domainstrukturen regelmäßig. Planen Sie eine vierteljährliche Überprüfung in Ihren Betriebskalender ein, um Abweichungen zu erkennen, bevor sie sich auf die Benutzer auswirken.

Segmentieren Sie IoT-Geräte von Anfang an. Verwenden Sie AltaPass, um IoT-Geräten ein dediziertes VLAN mit aktiviertem Hotspot-Bypass zuzuweisen. Die Vermischung von IoT-Traffic mit Gast- oder Mitarbeitertraffic birgt unnötige Risiken und erschwert die Reaktion auf Vorfälle.

Für einen umfassenderen Überblick über die Sicherheitsarchitektur von Enterprise-WiFi lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

Fehlerbehebung und Risikominderung

Die Splash-Page wird unter iOS nicht angezeigt. Die häufigste Ursache ist ein fehlender captive.apple.com-Eintrag im Walled Garden. iOS verwendet diese Domain, um Captive Portals zu erkennen. Wenn die Prüfung blockiert wird, startet der Captive Network Assistant nicht und der Benutzer sieht einen allgemeinen Verbindungsfehler.

Der Social Login zeigt einen leeren Bildschirm oder einen CORS-Fehler. Überprüfen Sie den Walled Garden auf fehlende CDN- oder API-Subdomains. Die Einträge *.fbcdn.net von Facebook und gstatic.com von Google werden am häufigsten vergessen. Verwenden Sie die Entwicklertools des Browsers in einer nicht authentifizierten Sitzung, um festzustellen, welche Domain-Anfragen fehlschlagen.

Die VLAN-Zuweisung schlägt mit AltaPass fehl. Stellen Sie sicher, dass der Upstream-Switch-Port, der mit dem AP verbunden ist, als Trunk-Port konfiguriert ist und die getaggten VLANs zulässt. Ein Switch-Port im Access-Modus verwirft getaggte Frames geräuschlos, sodass der Client keine IP-Adresse erhält.

RADIUS-Authentifizierung läuft ab (Timeout). Stellen Sie sicher, dass die UDP-Ports 1812 and 1813 in der Edge-Firewall für ausgehenden Datenverkehr geöffnet sind. Überprüfen Sie, ob das Shared Secret in der Alta Labs-Konfiguration exakt mit dem Wert in den Purple-Standorteinstellungen übereinstimmt – eine Abweichung von nur einem Zeichen führt dazu, dass alle Authentifizierungsanfragen fehlschlagen.

Die dynamische VLAN-Zuweisung weist Benutzer dem falschen VLAN zu. Stellen Sie das Standard-VLAN auf der 802.1X-SSID auf VLAN 1 ein. Wenn das Standard-VLAN auf einen bestimmten Wert eingestellt ist, überschreibt der AP möglicherweise das über RADIUS zugewiesene VLAN. Dies ist ein Verhalten auf Firmware-Ebene, das im Alta Labs-Community-Forum bestätigt wurde.

ROI und geschäftliche Auswirkungen

Die Bereitstellung von Alta Labs-Hardware mit Purple Guest WiFi liefert messbare Erträge in drei Dimensionen: betriebliche Effizienz, Datenerfassung und Sicherheitsniveau.

Auf der betrieblichen Seite reduziert die Konsolidierung mehrerer SSIDs in ein einziges, von AltaPass verwaltetes Netzwerk den Verwaltungsaufwand und verbessert die Wireless-Leistung. Weniger SSIDs bedeuten weniger Beacon-Frame-Overhead, was sich direkt in einem höheren Durchsatz für alle verbundenen Geräte niederschlägt.

Auf der Datenseite erfasst das Captive Portal von Purple bei jeder Anmeldung verifizierte First-Party-Daten. Standorte, die die Capture- und Engage-Tarife von Purple nutzen, berichten von einer Steigerung der Opt-ins in die Marketing-Datenbank um 40 % im Vergleich zu unmanaged Gast-WiFi (interne Daten von Purple). Diese Daten ffließt direkt in WiFi Analytics ein und bietet Marketingteams Einblick in Besucherströme, Verweildauer und Wiederkehrraten.

Sicherheitsseitig isoliert die dynamische VLAN-Zuweisung den Datenverkehr von Gästen, Mitarbeitern und IoT-Geräten am Edge. In Kombination mit der ISO-27001-zertifizierten Infrastruktur von Purple und der GDPR-konformen Datenverarbeitung erfüllt diese Architektur die Anforderungen der PCI-DSS-Netzwerksegmentierung für Standorte, die Kartenzahlungen verarbeiten.

Speziell bei Implementierungen im Gastgewerbe schafft die Kombination aus gebrandeten Splash Pages, Integrationen von Treueprogrammen und Bandbreitenbegrenzungen pro Gerät ein differenziertes Gästeerlebnis, ohne das Netzwerkbetriebsteam zusätzlich zu belasten.

In Einzelhandelsumgebungen macht die Möglichkeit, POS-Terminals auf derselben physischen Infrastruktur vom Gäste-WiFi zu segmentieren – mithilfe von AltaPass-Bypass-Regeln –, eine separate Verkabelung oder Hardware überflüssig, was sowohl die Investitions- als auch die Betriebskosten senkt.

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die nicht authentifizierten Netzwerkverkehr abfängt und eine Interaktion des Benutzers erfordert – Anmeldung, Akzeptieren von Bedingungen oder Zahlung –, bevor der Internetzugang gewährt wird. Purple hostet die Splash-Page in der Cloud; der Alta Labs AP übernimmt die Weiterleitung.

Der primäre Mechanismus zur Erfassung von Gästedaten in WiFi-Bereitstellungen im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor.

Walled Garden

Eine definierte Liste von Domains und IP-Adressen, auf die ein Client-Gerät zugreifen kann, bevor die Captive Portal-Authentifizierung abgeschlossen ist. Alles außerhalb dieser Liste wird blockiert, bis sich der Benutzer anmeldet.

Entscheidend dafür, dass Social-Login-APIs, Betriebssystem-Erkennungssonden und Portal-CDN-Assets funktionieren, bevor die Authentifizierung abgeschlossen ist.

PPSK (Private Pre-Shared Key)

Eine Sicherheitsmethode, bei der mehrere eindeutige Passwörter auf einer einzigen SSID verwendet werden können, wobei jedes Passwort dem verbindenden Gerät ein bestimmtes VLAN, eine Bandbreitenrichtlinie und einen Zugriffszeitplan zuweist.

Alta Labs implementiert dies als AltaPass. Wird in Mehrfamilienhäusern, Smart Offices und Stadien verwendet, um isolierten Zugang ohne SSID-Wildwuchs zu ermöglichen.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) ermöglicht. Purple fungiert als RADIUS-Server; der Alta Labs AP fungiert als RADIUS-Client.

Der Mechanismus, der dem AP mitteilt, dass sich ein Gast erfolgreich authentifiziert hat und ihm Internetzugang gewährt werden sollte.

Identity-Based Networking

Eine Netzwerkarchitektur, bei der Zugriffsrechte, VLANs und Bandbreitenbegrenzungen basierend auf der authentifizierten Identität des Benutzers oder Geräts angewendet werden und nicht basierend auf dem physischen Port oder der SSID, mit der sie sich verbinden.

Der Begriff von Purple für die Kombination aus RADIUS, PPSK und VLAN-Zuweisung, die konsistente Richtlinien über einen verteilten Bestand hinweg ermöglicht.

Dynamische VLAN-Zuweisung

Der Prozess, bei dem ein Client-Gerät basierend auf den von einem RADIUS-Server zurückgegebenen Authentifizierungsdaten in ein bestimmtes virtuelles lokales Netzwerk (VLAN) eingeordnet wird, anstatt einer statischen SSID-zu-VLAN-Zuordnung.

Unerlässlich für die Isolierung von Personal-, Gäste- und IoT-Verkehr auf einer gemeinsam genutzten drahtlosen Infrastruktur. Erfordert korrekte RADIUS-Attribute: Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id.

Captive Network Assistant (CNA)

Der integrierte Betriebssystem-Mechanismus unter iOS, Android und Windows, der ein Captive Portal durch Abfragen einer bekannten URL erkennt. Wenn die Abfrage weitergeleitet wird, startet das Betriebssystem einen Pseudo-Browser, damit sich der Benutzer anmelden kann.

Wenn die CNA-Sondendomains im Walled Garden blockiert sind, sieht der Benutzer die Splash-Page nie. Dies ist die häufigste Fehlerquelle bei Captive Portals.

WPA3-OWE

Wi-Fi Protected Access 3 - Opportunistic Wireless Encryption. Ein Standard, der Daten bei der Übertragung in offenen Netzwerken verschlüsselt, ohne dass ein Passwort erforderlich ist. Dies schützt die Privatsphäre der Gäste und ermöglicht dennoch die Weiterleitung zum Captive Portal.

Der empfohlene Sicherheitsmodus für Gäste-SSIDs im Jahr 2026. Bietet Verschlüsselung ohne die Hürden eines Pre-Shared Keys.

AltaPass

Die zum Patent angemeldete Implementierung der Multi-Passwort-SSID-Technologie von Alta Labs. Ermöglicht es einer einzigen SSID, unbegrenzt viele eindeutige Passwörter zu übertragen, jedes mit eigenem VLAN, Bandbreitenlimit, Zeitplan und eigener Hotspot-Bypass-Einstellung.

Das primäre Tool für mandantenfähige Segmentierung auf Alta Labs-Hardware. Ersetzt die Notwendigkeit mehrerer SSIDs in Wohn-, Gastgewerbe- und Smart-Office-Bereitstellungen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss einen gestuften WiFi-Zugang bereitstellen: einen kostenlosen Basistarif (10 Mbps) für Standardgäste, einen kostenpflichtigen Premiumtarif (50 Mbps) für Treuemitglieder und ein sicheres Netzwerk für das Reinigungspersonal. Um die HF-Leistung über 40 Alta Labs AP6 Pro-Geräte hinweg aufrechtzuerhalten, soll das Senden mehrerer SSIDs vermieden werden.

Stellen Sie eine einzelne SSID namens „Hotel Guest WiFi“ mit aktiviertem AltaPass bereit. Erstellen Sie drei Passwortprofile im Alta Labs-Dashboard: (1) ein Standard-Gästepasswort, das VLAN 10 mit einem Download-Limit von 10 Mbps und einer externen Hotspot-Weiterleitung auf die Purple-Splash-Page zugewiesen ist; (2) ein Passwort für Treuemitglieder, das VLAN 20 mit einem Limit von 50 Mbps zugewiesen ist – Purple kann dieses Passwort nach der Authentifizierung über seine Marketing-Automatisierung verteilen; (3) ein Passwort für das Reinigungspersonal, das VLAN 30 ohne Bandbreitenbegrenzung zugewiesen ist, wobei der Hotspot-Bypass aktiviert und die Client-Isolierung deaktiviert ist, damit die Geräte des Personals mit den Back-of-House-Systemen kommunizieren können. Konfigurieren Sie die Switch-Uplinks als Trunks, die die VLANs 10, 20 und 30 zulassen. Die Gäste- und Treuemitglieder-VLANs werden über NAT ins Internet geroutet. Das Personal-VLAN wird in das Subnetz des Hotelmanagementsystems geroutet.

Kommentar des Prüfers: Dieser Ansatz nutzt AltaPass, um Identity-Based Networking ohne SSID-Wildwuchs zu realisieren. Die entscheidende Erkenntnis ist, dass der Hotspot-Bypass eine passwortspezifische und keine SSID-spezifische Einstellung ist. Dadurch kann dieselbe SSID gleichzeitig Captive Portal-Gäste und Personal mit aktiviertem Bypass bedienen. Die Verteilung des Premium-Tarifs über den Post-Authentifizierungs-Flow von Purple ist ein gängiges Muster im Gastgewerbe – der Gast meldet sich im Standardtarif an, und die Marketing-Engine von Purple sendet ihm einen Premium-Zugangscode, wenn er die Kriterien für Treuemitglieder erfüllt.

Eine Einzelhandelskette stellt Purple Guest WiFi in 50 Filialen mit Alta Labs-Hardware bereit. Während des Tests wird die Splash-Page auf Android-Geräten korrekt geladen, aber Apple iOS-Geräte zeigen einen allgemeinen Fehler „Keine Internetverbindung“ an und zeigen den Anmeldebildschirm nicht an. Der Walled Garden enthält die Domain des Purple-Portals und Google-OAuth-Einträge.

Fügen Sie captive.apple.com zum Walled Garden in der Alta Labs Hotspot-Konfiguration hinzu. iOS verwendet diese Domain als Sonde für den Captive Network Assistant. Wenn sich das Gerät mit einem neuen Netzwerk verbindet, sendet iOS eine HTTP-Anfrage an captive.apple.com. Wenn es die erwartete Antwort erhält, geht es davon aus, dass das Netzwerk offen ist. Wenn es eine Weiterleitung erhält, startet es den Pseudo-Browser. Wenn die Domain vollständig blockiert ist, kann iOS das Captive Portal nicht erkennen und zeigt einen Verbindungsfehler an. Sobald die Domain auf der Whitelist steht, erkennen iOS-Geräte die Weiterleitung und starten automatisch den Anmeldebildschirm.

Kommentar des Prüfers: Dies ist die mit Abstand häufigste Fehlerquelle bei Captive Portals in der Praxis. Android verwendet connectivitycheck.gstatic.com und Windows verwendet msftconnecttest.com für denselben Zweck. Alle drei müssen für eine plattformübergreifende Bereitstellung im Walled Garden enthalten sein. Der Fehler ist besonders verwirrend, da er sich als Netzwerkverbindungsfehler und nicht als Portalfehler darstellt, was Techniker dazu verleitet, DHCP und DNS zu untersuchen, bevor sie den Walled Garden überprüfen.

Übungsfragen

Q1. Sie stellen Alta Labs AP6 Pro Access Points in einem Konferenzzentrum bereit. Der Kunde benötigt ein Captive Portal für Teilnehmer, muss aber auch Point-of-Sale-Terminals sicher mit denselben Access Points verbinden, ohne dass die Splash-Page angezeigt wird. Beide Gerätetypen sollten dieselbe SSID verwenden, um die Beschilderung zu vereinfachen. Wie konfigurieren Sie das?

Hinweis: AltaPass ermöglicht passwortspezifische Hotspot-Bypass-Einstellungen auf derselben SSID.

Musterlösung anzeigen

Aktivieren Sie AltaPass auf der einzelnen SSID. Erstellen Sie ein Passwort für POS-Terminals, das diese einem sicheren VLAN (z. B. VLAN 50) mit aktiviertem Hotspot-Bypass zuweist – diese Geräte verbinden sich direkt mit dem Netzwerk, ohne das Captive Portal zu sehen. Erstellen Sie ein separates Passwort (oder verwenden Sie eine offene Verbindung) für Teilnehmer, das die externe Weiterleitung zur Purple-Splash-Page auf VLAN 10 auslöst. Beide Gerätetypen verbinden sich mit derselben SSID, erhalten jedoch basierend auf ihrem Passwort unterschiedliche Netzwerkrichtlinien.

Q2. Nach der Konfiguration des Purple Captive Portals in einem Alta Labs-Netzwerk zeigen Android-Geräte die Splash-Page erfolgreich an, aber Apple iOS-Geräte zeigen einen allgemeinen Fehler „Keine Internetverbindung“ an und öffnen den Anmeldebildschirm nicht. Der Walled Garden enthält die Domain des Purple-Portals und Google-OAuth-Einträge. Was ist die wahrscheinlichste Ursache und wie lässt sich das beheben?

Hinweis: iOS verwendet eine bestimmte Domain, um Captive Portals zu erkennen. Wenn es diese Domain nicht erreichen kann, geht es davon aus, dass das Netzwerk keinen Internetzugang hat.

Musterlösung anzeigen

Im Walled Garden fehlt captive.apple.com. iOS sendet beim Verbinden mit einem neuen Netzwerk eine HTTP-Abfrage an diese Domain. Wenn die Abfrage blockiert wird, kann iOS das Captive Portal nicht erkennen und zeigt einen Verbindungsfehler an, anstatt den Captive Network Assistant zu starten. Fügen Sie captive.apple.com zum Walled Garden in der Alta Labs Hotspot-Konfiguration hinzu. Fügen Sie außerdem connectivitycheck.gstatic.com für Android und msftconnecttest.com für Windows hinzu, um eine plattformübergreifende Kompatibilität zu gewährleisten.

Q3. Ein IT-Leiter eines Stadions hat RADIUS-zugewiesene VLANs in einem Alta Labs 802.1X-Personalnetzwerk konfiguriert. Der RADIUS-Server sendet das korrekte Attribut Tunnel-Private-Group-Id (VLAN 20), aber alle Geräte des Personals landen im VLAN 5, dem auf der SSID konfigurierten Standard-VLAN. Was verursacht dies und wie lösen Sie es?

Hinweis: Es gibt ein bekanntes Verhalten in der Alta Labs-Firmware bezüglich der Interaktion zwischen dem SSID-Standard-VLAN und RADIUS-zugewiesenen VLANs.

Musterlösung anzeigen

Der Alta Labs AP überschreibt das RADIUS-zugewiesene VLAN mit dem Standard-VLAN-Wert der SSID. Dies ist ein bekanntes Firmware-Verhalten: Wenn das Standard-VLAN auf der SSID auf einen bestimmten Wert eingestellt ist (in diesem Fall VLAN 5), verwendet der AP diesen Wert anstelle des von RADIUS zurückgegebenen VLANs. Die Lösung besteht darin, das Standard-VLAN auf der 802.1X-SSID auf VLAN 1 zu setzen (oder es ungetaggt zu lassen). Wenn der Standard auf VLAN 1 eingestellt ist, greift der AP für jeden authentifizierten Benutzer korrekt auf das RADIUS-zugewiesene VLAN zurück.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.