NETGEAR Enterprise AP und Gäste WiFi: Captive Portal Einrichtung mit Purple

Willkommen zum Technical Briefing von Purple. Heute behandeln wir ein Thema, das in unseren Gesprächen mit IT-Managern und Netzwerkarchitekten in der Hotellerie, im Einzelhandel und in Multi-Tenant-Umgebungen ständig zur Sprache kommt: wie man NETGEAR Insight und Access Points der WAX-Serie mit Purple WiFi integriert. Wenn Sie ein Hotel, einen Fachmarktzentrum, ein Konferenzzentrum oder eine gemischt genutzte Immobilie betreiben, ist dieses Briefing direkt relevant für Ihre nächste Bereitstellungsentscheidung. Lassen Sie uns die Ausgangslage betrachten. Die WAX-Serie von NETGEAR - die Modelle WAX610, WAX620 und WAX630 - sind WiFi 6 Access Points, die über die Insight-Cloud-Plattform verwaltet werden. Sie unterstützen bis zu acht separate SSIDs pro Funkmodul, WPA3-Verschlüsselung und bis zu sechs Gigabit Durchsatz beim WAX630. Sie werden über PoE mit Strom versorgt, sind für die Deckenmontage geeignet und werden über ein Single Pane of Glass über das Insight Cloud Portal verwaltet. Für einen IT-Installateur oder einen SMB-Netzwerkadministrator ist dies eine wirklich leistungsstarke Plattform zu einem Preis, der deutlich unter dem Niveau von Cisco Meraki oder HPE Aruba liegt. Purple ist ein hardware-agnostisches Cloud-Overlay. Wir setzen auf Ihrer bestehenden Infrastruktur auf und fügen die Guest-Experience-Ebene, die Datenerfassungsebene und die Analyse-Ebene hinzu. Wir haben im Jahr 2024 über 440 Millionen Logins an 80.000 Live-Standorten verarbeitet. Die Integration mit NETGEAR Insight ist sauber und gut dokumentiert und deckt vier verschiedene Anwendungsfälle ab, die wir heute durchgehen werden. Kommen wir nun zum technischen Deep-Dive. Die vier Anwendungsfälle sind: Guest WiFi mit einem Purple Captive Portal, sicheres Mitarbeiter-WiFi über 802.1X, Multi-Tenant-Segmentierung mit der PPSK-Funktion von NETGEAR und dynamische VLAN-Zuweisung über RADIUS für identitätsbasierte Netzwerke. Anwendungsfall eins: Guest WiFi mit einem Purple Captive Portal. Dies ist der häufigste Ausgangspunkt. Sie erstellen eine dedizierte Guest SSID in NETGEAR Insight und konfigurieren diese als offenes Netzwerk. Die wichtigste Konfiguration befindet sich im Bereich Captive Portal der SSID-Einstellungen. Sie wählen "External Captive Portal" und fügen die von Purple bereitgestellte Splash Page URL ein. Als Nächstes konfigurieren Sie den Authentifizierungstyp. Für die meisten Purple-Bereitstellungen wählen Sie die RADIUS-Authentifizierung. Purple stellt Ihnen eine primäre RADIUS-Server-IP-Adresse, Port 1812 für die Authentifizierung, Port 1813 für das Accounting und ein Shared Secret zur Verfügung. Diese tragen Sie in die Konfiguration des externen Captive Portals in NETGEAR Insight ein. Außerdem legen Sie einen NAS-Identifier fest - dies ist eine Zeichenfolge, die diesen spezifischen Access Point oder Standort gegenüber dem RADIUS-Server identifiziert. Verwenden Sie einen aussagekräftigen Namen, z. B. Ihren Standortnamen und den Standortcode. Der Walled Garden ist der Punkt, an dem die meisten Installateure scheitern. Bevor ein Gast sich authentifiziert, muss sein Gerät in der Lage sein, die Purple Splash Page, die Authentifizierungsserver und alle von Ihnen aktivierten Social-Login-Anbieter zu erreichen. NETGEAR Insight verfügt über einen dedizierten Walled Garden-Bereich in der Konfiguration des External Captive Portal, in dem Sie diese URLs hinzufügen. Die Support-Dokumentation von Purple enthält die genaue Liste der Domains, die auf die Whitelist gesetzt werden müssen. Wenn Sie hier einen Fehler machen, sehen die Gäste eine leere Seite anstelle Ihres gebrandeten Portals. Nach der Konfiguration läuft der Prozess wie folgt ab: Ein Gast verbindet sich mit der Hotel Guest SSID. Der Access Point fängt seine erste HTTP-Anfrage ab und leitet ihn zur Purple Splash Page weiter. Der Gast sieht Ihr gebrandetes Portal, akzeptiert die Bedingungen und gibt optional seine E-Mail-Adresse an oder meldet sich über Social Media an. Der RADIUS-Server von Purple sendet eine Access-Accept-Nachricht an den Access Point zurück, und dem Gast wird der Internetzugang gewährt. Purple erfasst die Einwilligungsdaten, protokolliert die Sitzung und diese Daten fließen direkt in Ihr Purple Analytics-Dashboard. Anwendungsfall zwei: Sicheres Mitarbeiter-WiFi über 802.1X. Hier verabschieden Sie sich endgültig von gemeinsam genutzten Passwörtern. Für Mitarbeiternetzwerke ist ein Pre-Shared Key ein Sicherheitsrisiko - wenn ein Mitarbeiter das Unternehmen verlässt, müssen Sie das Passwort für alle ändern. 802.1X, definiert im Standard IEEE 802.1X, gibt jedem Benutzer individuelle Zugangsdaten. Wenn ein Mitarbeiter ausscheidet, deaktivieren Sie einfach sein Konto in Ihrem Verzeichnis, und sein Zugang wird sofort entzogen. In NETGEAR Insight konfigurieren Sie eine separate Mitarbeiter-SSID mit WPA2-Enterprise-Sicherheit. Dies weist den Access Point an, die 802.1X-Authentifizierung anstelle eines Pre-Shared Keys zu verwenden. Anschließend konfigurieren Sie die RADIUS-Server-Einstellungen auf Netzwerk-Standortebene. Gehen Sie zu den Netzwerk-Standorteinstellungen, wählen Sie RADIUS, aktivieren Sie die 802.1X-Zugriffsauthentifizierung und geben Sie die IP-Adresse, den Port und das Shared Secret Ihres RADIUS-Servers ein. Das standardmäßige Re-Authentifizierungsintervall beträgt 3.600 Sekunden - eine Stunde - was für die meisten Standorte ein sinnvoller Ausgangspunkt ist. Die am häufigsten verwendete EAP-Methode in KMU-Szenarien ist PEAP-MSCHAPv2. Diese verwendet ein serverseitiges Zertifikat, um einen verschlüsselten Tunnel aufzubauen, in dem sich der Benutzer mit seinem Active Directory-Benutzernamen und -Passwort authentifiziert. EAP-TLS ist noch sicherer - es verwendet Zertifikate auf beiden Seiten - erfordert jedoch eine PKI-Infrastruktur und MDM, um die Zertifikate auf die Geräte zu verteilen. Ein wichtiger Punkt: Erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Konfigurieren Sie Ihre Windows-Geräte über Gruppenrichtlinienobjekte und Ihre Mobilgeräte über MDM-Profile so, dass sie das Zertifikat des RADIUS-Servers validieren. Wenn Sie diesen Schritt überspringen, sind die Geräte anfällig für Angriffe durch gefälschte Access Points, bei denen ein Angreifer ein gefälschtes Zertifikat präsentiert und Zugangsdaten abfängt. Anwendungsfall drei: NETGEAR PPSK für mandantenfähige Standorte. Private Pre-Shared Key löst ein spezifisches Problem in Fachmarktzentren, Mischnutzungsprojekten und Co-Working-Spaces. Sie haben mehrere Mandanten, die sich dieselbe physische WiFi-Infrastruktur teilen. Sie möchten nicht für jeden Mandanten separate SSIDs betreiben - das führt zu Hochfrequenzüberlastung und Verwaltungsaufwand. Aber Sie können auch nicht allen dasselbe Passwort geben, da sonst Mandant A den Datenverkehr von Mandant B sehen kann. PPSK löst dies elegant. Sie erstellen eine einzige SSID und legen in NETGEAR Insight unter Wireless, Settings, Advanced, Multi PSK Settings mehrere Pre-Shared Keys an. Jeder Key ist einem bestimmten VLAN zugeordnet. Mandant A erhält ein eindeutiges, 16-stelliges Passwort, das auf VLAN 30 verweist. Mandant B erhält ein anderes Passwort, das auf VLAN 40 verweist. Das Standort-Management-Team erhält ein drittes Passwort, das auf VLAN 20 verweist, welches Zugriff auf die Verwaltungssysteme hat. Wenn sich die Geräte von Mandant A mit ihrem Passwort verbinden, weist der Access Point sie automatisch dem VLAN 30 zu. Sie können keinen Datenverkehr auf VLAN 40 oder VLAN 20 sehen. Aus Sicht des Mandanten haben sie einfach ein WiFi-Passwort. Aus Ihrer Sicht als Netzwerkadministrator haben Sie eine vollständige Trennung des Datenverkehrs zwischen den Mandanten - ganz ohne zusätzliche Hardware. Es gibt zwei wichtige Einschränkungen zu beachten. Erstens erfordert PPSK in NETGEAR Insight eine WPA2 Personal oder WPA2 Personal Mixed Verschlüsselung. Es funktioniert nicht auf dem 6-GHz-Band. Zweitens kann PPSK nicht mit einem Captive Portal auf derselben SSID kombiniert werden. Wenn Sie beides benötigen, brauchen Sie zwei separate SSIDs - was kein Problem ist, da Access Points der WAX-Serie bis zu acht unterstützen. Anwendungsfall vier: dynamische VLAN-Zuweisung via RADIUS. Dies ist die anspruchsvollste Konfiguration und die Basis für die fähigkeitsbasierten Identity-Based Networks von Purple. Anstatt ein VLAN statisch einem Passwort oder einer SSID zuzuweisen, lassen Sie den RADIUS-Server basierend auf der authentifizierenden Person entscheiden, welches VLAN zugewiesen wird. Der Mechanismus nutzt drei Standard-RADIUS-Attribute: Tunnel-Type (muss für VLAN auf den Wert 13 gesetzt sein), Tunnel-Medium-Type (muss für IEEE 802 auf den Wert 6 gesetzt sein) und Tunnel-Private-Group-ID, das die VLAN-ID als String überträgt. Nach erfolgreicher Authentifizierung eines Benutzers gibt der RADIUS-Server diese drei Attribute in der Access-Accept-Nachricht zurück. Der Access Point liest diese aus und weist den Client dem angegebenen VLAN zu. In der Praxis bedeutet dies, dass Sie eine einzige WPA2 Enterprise SSID haben können, bei der sich ein Hotelmanager authentifiziert und im VLAN 20 mit Zugriff auf die Property-Management-Systeme landet, ein Mitarbeiter an der Rezeption sich authentifiziert und im VLAN 21 mit Zugriff ausschließlich auf das Check-in-System landet und ein externer Dienstleister sich authentifiziert und im VLAN 50 mit reinem Internetzugang landet. Alles über dieselbe SSID, alles automatisch vom RADIUS-Server basierend auf der Active Directory-Gruppenmitgliedschaft erzwungen. Sprechen wir nun über Implementierungsempfehlungen und Fallstricke. Der erste Fallstrick ist der Walled Garden. Jede Implementierung eines externen Captive Portal scheitert mindestens einmal am Walled Garden. Das Symptom ist, dass sich Gäste mit der SSID verbinden, aber eine Fehlermeldung im Browser anstelle der Splash-Page sehen. Die Behebung erfolgt methodisch: Öffnen Sie die Purple-Supportdokumentation, kopieren Sie jede Domain in der Walled-Garden-Liste und fügen Sie diese im NETGEAR Insight-Bereich „Walled Garden“ ein. Testen Sie dies mit einem Gerät, das keine zwischengespeicherten Anmeldedaten besitzt. Der zweite Fallstrick ist die Erreichbarkeit von RADIUS. Der NETGEAR Access Point muss Ihren RADIUS-Server erreichen können. RADIUS verwendet den UDP-Port 1812 für die Authentifizierung und den UDP-Port 1813 für das Accounting. Öffnen Sie diese Ports von der Management-IP des Access Points zur IP des RADIUS-Servers. Testen Sie dies mit einem RADIUS-Testtool, bevor Sie live gehen. Der dritte Fallstrick ist der Konflikt zwischen PPSK und Captive Portal. NETGEAR Insight erlaubt kein PPSK und Captive Portal auf derselben SSID. Wenn Sie beides benötigen, erstellen Sie zwei SSIDs. Benennen Sie diese eindeutig - eine für PPSK-Mandanten und eine für die Captive Portal-Gäste. Der vierte Fallstrick ist die Zertifikatsvalidierung auf 802.1X-Clients. Jedes Windows-Gerät benötigt ein Gruppenrichtlinienobjekt, das die vertrauenswürdige Zertifizierungsstelle und den erwarteten RADIUS-Servernamen angibt. Jedes mobile Gerät benötigt ein MDM-Profil mit denselben Einstellungen. Ohne dies könnte sich ein Benutzer unwissentlich an einem gefälschten Access Point authentifizieren und seine Active Directory-Anmeldedaten preisgeben. Nun zu einer schnellen Fragerunde. Frage eins: Kann ich Purple mit NETGEAR Insight ohne einen RADIUS-Server verwenden? Ja, für Gast-Captive-Portal-Implementierungen können Sie den Web-Authentifizierungsmodus von Purple anstelle von RADIUS verwenden. Der Access Point leitet über HTTP zur Splash-Page weiter, und Purple übernimmt die Authentifizierung über eine Websitzung. RADIUS bietet Ihnen mehr Kontrolle und bessere Accounting-Daten, ist aber für grundlegende Gast-Portal-Implementierungen nicht zwingend erforderlich. Frage zwei: Wie viele PPSK-Schlüssel kann ich in NETGEAR Insight erstellen? NETGEAR Insight unterstützt bis zu 64 PPSK-Schlüssel pro SSID auf Access Points der WAX-Serie. Für die meisten mandantenfähigen Standorte ist dies mehr als ausreichend. Wenn Sie mehr als 64 Mandanten haben, müssen Sie stattdessen auf eine RADIUS-basierte dynamische VLAN-Lösung ausweichen. Frage drei: Unterstützt NETGEAR Insight WPA3 Enterprise für 802.1X? Ja, Access Points der WAX-Serie unterstützen WPA3 Enterprise. Für die meisten KMU-Implementierungen ist WPA2 Enterprise ausreichend und bietet eine breitere Kompatibilität mit Client-Geräten. WPA3 Enterprise ist für Umgebungen in Betracht zu ziehen, die mit sensiblen Daten umgehen, wie z. B. im Gesundheitswesen oder bei Finanzdienstleistungen. Frage vier: Was passiert, wenn der Purple RADIUS-Server nicht erreichbar ist? NETGEAR Insight unterstützt eine Failsafe-Option in der Konfiguration des External Captive Portal. Wenn Sie Failsafe aktivieren, erhalten Gäste auch dann für kurze Zeit Internetzugang, wenn die Captive Portal-Server nicht erreichbar sind. Purple hält eine Betriebszeit von 99,999 % auf unserer gesamten Infrastruktur aufrecht, aber die Aktivierung von Failsafe ist eine bewährte Methode für jede Produktivbereitstellung. Um die wichtigsten Erkenntnisse aus dem heutigen Briefing zusammenzufassen: Access Points der NETGEAR WAX-Serie lassen sich über den External Captive Portal-Mechanismus in NETGEAR Insight mit Purple integrieren. Sie konfigurieren die Splash-Page-URL, die RADIUS-Server-Anmeldedaten und die Walled-Garden-Domains im Insight Cloud Portal. Verwenden Sie für Mitarbeiternetzwerke WPA2 Enterprise mit 802.1X und erzwingen Sie die Zertifikatsvalidierung auf jedem Client-Gerät. Für mandantenfähige Standorte bietet Ihnen die PPSK-Funktion von NETGEAR eine VLAN-Isolierung pro Mandant von einer einzigen SSID mit bis zu 64 eindeutigen Schlüsseln. Für die anspruchsvollsten Bereitstellungen bietet Ihnen die dynamische VLAN-Zuweisung über RADIUS-Attribute eine identitätsgesteuerte Netzwerksegmentierung, die sich daran anpasst, wer sich verbindet, und nicht nur, von wo aus die Verbindung hergestellt wird. Wenn Sie eine NETGEAR-Bereitstellung mit Purple planen, besteht der nächste Schritt darin, Ihre Purple RADIUS-Anmeldedaten und die Walled-Garden-Domainliste vom Purple-Support-Team anzufordern und die Captive Portal-Weiterleitung auf einer Staging-SSID zu testen, bevor Sie sie in der Produktion einführen. Die Konfiguration dauert weniger als 30 Minuten, sobald Sie diese Anmeldedaten vorliegen haben. Vielen Dank, dass Sie sich das technische Briefing von Purple angehört haben. Den vollständigen schriftlichen Leitfaden, einschließlich detaillierter Konfigurationsschritte und ausgearbeiteter Beispiele, finden Sie unter purple.ai.