Mikrotik RouterOS und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

MikroTik RouterOS Captive Portal und Purple WiFi Integrationsleitfaden - Podcast-Skript [INTRO - ca. 1 Minute] Willkommen. Wenn Sie die WiFi-Infrastruktur in einem Hotel, einer Einzelhandelskette, einem Stadion oder einem Konferenzzentrum verwalten und MikroTik RouterOS einsetzen, ist diese Folge genau das Richtige für Sie. Ich werde Sie genau durch die Integration des Hotspot Gateway von MikroTik mit der Guest-WiFi-Plattform von Purple führen. Dabei behandeln wir drei verschiedene Anwendungsfälle: Guest-WiFi mit einem Captive Portal und Walled Garden, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerksegmentierung mit der Private Pre-Shared Key-Funktion von MikroTik. Dies ist kein theoretischer Überblick. Am Ende dieses Beitrags verfügen Sie über die spezifischen CLI-Befehle, RADIUS-Attribute und die Konfigurationslogik, die Sie benötigen, um diese Setups selbst bereitzustellen oder zu prüfen. Legen wir los. [TECHNISCHER DEEP-DIVE - ca. 5 Minuten] Teil eins: Guest-WiFi und das MikroTik Captive Portal. Das Hotspot Gateway von MikroTik ist das Herzstück der Guest-WiFi-Weiterleitung unter RouterOS. Wenn sich ein Besucher mit Ihrer Guest-SSID verbindet, fängt das Hotspot Gateway dessen HTTP-Traffic ab und leitet ihn auf eine Splash-Page weiter - das ist Ihr Captive Portal. Purple hostet diese Splash-Page. Ihr MikroTik-Router fungiert als Hotspot Gateway und RADIUS-Client. Die Plattform von Purple fungiert als RADIUS-Server. So richten Sie es ein. Führen Sie zuerst den Hotspot-Setup-Assistenten über das IP-Menü in Winbox oder über die CLI aus. Sie weisen ihn Ihrer Schnittstelle für Gäste zu - in der Regel einer VLAN-Schnittstelle oder einem Bridge-Port. Legen Sie Ihren lokalen Adresspool fest, konfigurieren Sie Ihre DNS-Server und geben Sie dem Hotspot einen DNS-Namen. Diesen DNS-Namen sehen die Gäste in ihrem Browser, bevor sie sich authentifizieren. Sobald der Assistent abgeschlossen ist, müssen Sie das Hotspot-Profil auf den RADIUS-Server von Purple ausrichten. In der CLI sieht das so aus: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Aktivieren Sie dann RADIUS im Hotspot-Profil: /ip hotspot profile set default use-radius=yes Purple stellt Ihnen die RADIUS-IP-Adresse, das Shared Secret und die URL der Splash-Page zur Verfügung, wenn Sie Ihren Standort im Purple-Dashboard einrichten. Nun zum Walled Garden. Dies ist entscheidend. Bevor sich ein Gast authentifizieren kann, muss sein Gerät die Splash-Page von Purple und alle von Ihnen genutzten OAuth-Anbieter - wie Google, Facebook usw. - erreichen können. Ohne Walled Garden-Einträge bricht die Weiterleitungsschleife ab und die Gäste können sich nicht anmelden. In RouterOS fügen Sie Walled Garden-Einträge unter IP, Hotspot, Walled Garden hinzu. Sie müssen die Domain der Splash-Page von Purple, alle Social-Login-Domains und alle CDN-Hosts hinzufügen, die die Assets für die Anmeldeseite bereitstellen. Die Dokumentation von Purple listet die genauen Domains für Ihre Region auf. Fügen Sie diese als IP-Einträge oder Hostnamen-Einträge hinzu - Hostnamen-Einträge sind widerstandsfähiger, wenn sich IP-Adressen ändern. Die wichtigsten RADIUS-Attribute, die Purple bei einer erfolgreichen Authentifizierung zurückgibt, sind das Session-Timeout, das steuert, wie lange ein Gast verbunden bleibt, bevor er erneut aufgefordert wird, und optional ein Bandbreitenlimit über das herstellerspezifische Attribut Mikrotik-Rate-Limit. So können Sie Fair-Use-Richtlinien pro Gastsitzung direkt über das Purple-Dashboard durchsetzen, ohne die Router-Konfiguration anpassen zu müssen. Teil zwei: Sicheres Mitarbeiter-WiFi mit 802.1X. Hier verabschieden Sie sich endgültig von gemeinsam genutzten Passwörtern. IEEE 802.1X ist der Standard für die portbasierte Netzwerkzugriffskontrolle. Auf einer MikroTik-Funkschnittstelle aktivieren Sie die WPA2-Enterprise- oder WPA3-Enterprise-Authentifizierung. Das bedeutet, dass der Access Point zum Authentifikator wird - er leitet die EAP-Anmeldedaten vom Mitarbeitergerät an einen RADIUS-Server weiter, der diese validiert und ein Access-Accept oder Access-Reject zurückgibt. Das Mitarbeiter-WiFi-Produkt von Purple lässt sich mit Microsoft Entra ID, Okta und Google Workspace als Identitätsanbieter integrieren. Wenn sich das Gerät eines Mitarbeiters verbindet, präsentiert es ein Zertifikat oder einen Benutzernamen und ein Passwort über PEAP-MSCHAPv2. Der RADIUS-Server von Purple validiert diese Anmeldedaten in Echtzeit mit Ihrem Identitätsanbieter. Auf der MikroTik-Seite konfigurieren Sie das drahtlose Sicherheitsprofil mit authentication-types auf wpa2-eap und verweisen den RADIUS-Client mit service=wireless auf den Server von Purple. In CAPsMAN - dem zentralen Access Point-Verwaltungssystem von MikroTik - stellen Sie dies auf der Ebene der Sicherheitskonfiguration ein, sodass es konsistent auf alle Ihre verwalteten Access Points angewendet wird. Der RADIUS-Server kann das Attribut Mikrotik-Wireless-VLANID zurückgeben, um authentifizierte Mitarbeiter in einem bestimmten VLAN zu platzieren. So setzen Sie die Netzwerksegmentierung durch - Finanzmitarbeiter landen im VLAN 10, die Rechtsabteilung im VLAN 20 und so weiter - alles über eine einzige SSID, alles gesteuert durch die Identität. Für den automatischen Widerruf - wenn ein Mitarbeiter das Unternehmen verlässt - sorgt die Integration von Purple in Ihren Identitätsanbieter dafür, dass bei Deaktivierung des Kontos in Entra ID oder Okta der nächste Reauthentifizierungsversuch fehlschlägt und das Gerät getrennt wird. Es sind keine manuellen Änderungen an der Router-Konfiguration erforderlich. Teil drei: Multi-Tenant-WiFi mit Private Pre-Shared Keys. Dies ist architektonisch die interessanteste der drei Optionen. Private PSK - manchmal auch als PPSK oder iPSK bezeichnet - ermöglicht es Ihnen, eine einzige SSID zu betreiben, bei der sich jeder Mieter, Bewohner oder jede Gerätegruppe mit einer eindeutigen Passphrase verbindet und jede Passphrase einem anderen VLAN zugeordnet ist. Auf MikroTik funktioniert dies über eine MAC-basierte RADIUS-Authentifizierung auf der Funkschnittstelle. Wenn sich ein Gerät verbindet, sendet der Access Point die MAC-Adresse des Geräts als Benutzernamen an den RADIUS-Server. Der RADIUS-Server - entweder der MikroTik-eigene User Manager in RouterOS 7 oder FreeRADIUS - sucht nach dieser MAC-Adresse und gibt zwei herstellerspezifische Attribute zurück: Mikrotik-Wireless-Psk, das die gerätespezifische Passphrase ist, und Mikrotik-Wireless-VLANID, die das Gerät im richtigen VLAN platziert. Das Wireless-Sicherheitsprofil erfordert, dass radius-mac-authentication auf „yes“ gesetzt ist, und der RADIUS-Client benötigt service=wireless. In der Praxis würden Sie bei einer Build-to-Rent-Immobilie mit 200 Wohnungen die MAC-Adressen der Geräte aller Bewohner bei deren Einzug auf der Plattform von Purple vorregistrieren. Purple ordnet jede MAC einem eindeutigen PSK und einem VLAN zu, das dem Netzwerksegment dieser Wohnung entspricht. Der Bewohner verbindet sich mit dem Passwort seiner Wohnung. Seine Geräte landen in einem isolierten VLAN. Die Geräte des Nachbarn befinden sich in einem völlig separaten VLAN. Keiner kann den Datenverkehr des anderen sehen. Für Geräte, die 802.1X nicht unterstützen - Smart-TVs, Spielekonsolen, IoT-Geräte - ist dieser Ansatz die praktische Alternative. Das Gerät muss lediglich WPA2-PSK unterstützen, was bei allen Geräten der Fall ist. [IMPLEMENTIERUNGSEMPFEHLUNGEN UND FALLSTRICKE - ca. 2 Minuten] Lassen Sie mich Ihnen die vier Dinge nennen, die bei diesen Bereitstellungen am häufigsten schiefgehen. Erstens: Lücken im Walled Garden. Wenn die Splash Page von Purple nicht geladen werden kann, überprüfen Sie Ihre Walled-Garden-Einträge. Die häufigste Ursache ist eine fehlende CDN-Domain oder eine Weiterleitung für den Social Login, die nicht auf der Whitelist steht. Verwenden Sie das MikroTik Torch-Tool oder den Packet Sniffer, um zu beobachten, welche DNS-Abfragen vor der Authentifizierung blockiert werden. Zweitens: Abweichende RADIUS-Timeouts. Das Standard-RADIUS-Timeout von MikroTik beträgt 1.100 Millisekunden. Wenn der RADIUS-Server von Purple geografisch weit entfernt ist oder der Netzwerkpfad Latenzen aufweist, kommt es zu sporadischen Authentifizierungsfehlern. Erhöhen Sie das Timeout auf 3.000 Millisekunden und konfigurieren Sie einen Backup-RADIUS-Server für zusätzliche Resilienz. Drittens: VLAN-Filterung auf der Bridge nicht aktiviert. Die dynamische VLAN-Zuweisung über RADIUS funktioniert nur, wenn die Bridge-VLAN-Filterung aktiviert ist. Dies ist eine RouterOS-Anforderung. Wenn alle Clients auf dem Standard-VLAN landen, unabhängig davon, was RADIUS zurückgibt, überprüfen Sie, ob vlan-filtering=yes auf Ihrer Bridge-Schnittstelle konfiguriert ist. Viertens: CAPsMAN-Versionskonflikt. Wenn Sie eine Mischung aus von CAPsMAN Version 2 und Version 3 verwalteten Access Points betreiben, kann sich das VLAN-Tagging-Verhalten unterscheiden. Standardisieren Sie Ihre gesamte AP-Infrastruktur auf RouterOS 7 mit CAPsMAN Version 3, bevor Sie dynamische VLAN-Funktionen bereitstellen. Eine architektonische Empfehlung: Trennen Sie den Datenverkehr von Gästen, Mitarbeitern und Management vom ersten Tag an auf separaten VLANs, auch wenn Sie nicht sofort alle drei Anwendungsfälle von Purple nutzen. Die nachträgliche VLAN-Segmentierung in einem flachen Netzwerk ist wesentlich störender als der Aufbau von Anfang an. [SCHNELLE FRAGEN UND ANTWORTEN - ca. 1 Minute] Kann ich den integrierten User Manager von MikroTik anstelle eines externen RADIUS-Servers verwenden? Ja, bei kleineren Bereitstellungen. Der User Manager in RouterOS 7 unterstützt PEAP-MSCHAPv2 für Wireless 802.1X und kann das Attribut Mikrotik-Wireless-VLANID zurückgeben. Bei produktiven Bereitstellungen mit Purple verwenden Sie die gehostete RADIUS-Infrastruktur von Purple, die die Integration des Identity Providers und das Session-Management für Sie übernimmt. Unterstützt Purple MikroTik CAPsMAN? Ja. Purple ist hardwareunabhängig. Die Integration erfolgt auf RADIUS- und Hotspot-Weiterleitungsebene, sodass sie gleichermaßen mit eigenständigen MikroTik Access Points und CAPsMAN-gesteuerten Implementierungen kompatibel ist. Welche RouterOS-Version benötige ich? RouterOS 7.x wird für alle drei in diesem Leitfaden behandelten Anwendungsfälle empfohlen. Die dynamische VLAN-Zuweisung über Wireless RADIUS und der aktualisierte User Manager sind Funktionen von RouterOS 7. RouterOS 6.x unterstützt Hotspot- und grundlegende RADIUS-Authentifizierung, verfügt jedoch nicht über einige der Wireless-VLAN-Funktionen. [ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE - ca. 1 Minute] Zusammenfassend lässt sich sagen: MikroTik RouterOS bietet Ihnen drei verschiedene Integrationspunkte mit Purple. Das Hotspot Gateway übernimmt die Weiterleitung von Gast-WiFi und die Authentifizierung über das Captive Portal. Die Wireless-802.1X-Konfiguration mit RADIUS sorgt für sicheres Mitarbeiter-WiFi mit identitätsbasiertem Zugriff. Und die MAC-basierte RADIUS-Authentifizierung mit Private PSK ermöglicht die Segmentierung von Multi-Tenant-Netzwerken für Wohn- und Mischnutzungsimmobilien. Der rote Faden bei allen drei Optionen ist RADIUS. Richten Sie Ihre RADIUS-Client-Konfiguration korrekt ein - korrekte IP, korrektes Shared Secret, korrekter Servicetyp, korrektes Timeout - und der Rest ergibt sich von selbst. Ihre nächsten Schritte: Melden Sie sich in Ihrem Purple-Dashboard an, navigieren Sie zur Standortkonfiguration und rufen Sie Ihre RADIUS-Anmeldedaten ab. Befolgen Sie dann die CLI-Befehle im schriftlichen Leitfaden, um Ihr Hotspot-Profil, Ihr Wireless-Sicherheitsprofil und Ihre Walled-Garden-Einträge zu konfigurieren. Testen Sie die Konfiguration mit einem einzelnen Access Point, bevor Sie sie auf Ihren gesamten Bestand ausrollen. Wenn Sie diese Lösung in großem Umfang implementieren - mehrere Standorte, Hunderte von Access Points - kann Sie das Professional Services-Team von Purple beim Rollout unterstützen. Purple wird weltweit an 80.000 Live-Standorten mit einer Verfügbarkeit von 99,999 % betrieben und ist nach ISO 27001, GDPR und Cyber Essentials zertifiziert. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden mit allen CLI-Befehlen, RADIUS-Attributtabellen und Praxisbeispielen ist in den Shownotes verlinkt.