OpenWrt Custom Firmware Integration mit Purple WiFi

Dieser Leitfaden bietet das vollständige Integrations-Playbook für die Bereitstellung von OpenWrt Custom Firmware mit Purple WiFi. Er deckt die CoovaChilli Captive Portal-Konfiguration, das iptables Walled Garden-Management, sicheres Mitarbeiter-WiFi mit 802.1X über hostapd sowie die mandantenfähige PPSK-Segmentierung mit dynamischer VLAN-Zuweisung ab – und liefert IT-Teams die exakten Konfigurationsschritte, die für den Aufbau eines identitätsbasierten Netzwerks auf jeder OpenWrt-fähigen Hardware erforderlich sind.

📖 9 Min. Lesezeit📝 2,146 Wörter🔧 2 ausgearbeitete Beispiele❓ 4 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

[0:00 - 1:00] Einführung & Kontext

Willkommen zum Purple Technical Briefing. Ich bin Ihr Moderator, und in den nächsten zehn Minuten werden wir die Integration der benutzerdefinierten OpenWrt-Firmware mit Purple WiFi analysieren. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und benutzerdefinierte Firmware in der Hotellerie, im Einzelhandel oder im öffentlichen Sektor bereitstellen, ist dieses Briefing genau das Richtige für Sie. Wir verzichten auf akademische Theorie und liefern Ihnen die exakte Anleitung zur Konfiguration von CoovaChilli, zur Absicherung von Mitarbeiternetzwerken mit 802.1X und zur Segmentierung von Multi-Tenant-Umgebungen mithilfe von Private Pre-Shared Keys.

Warum ist das wichtig? Weil die Bereitstellung einer benutzerdefinierten Firmware wie OpenWrt Ihnen unglaubliche Flexibilität und Hardware-Unabhängigkeit bietet. Doch ohne eine strukturierte, identitätsbasierte Zugriffskontrollebene wird diese Flexibilität zu einem Sicherheitsrisiko. Sie müssen First-Party-Daten sicher erfassen, die GDPR-Konformität gewährleisten und Ihren Datenverkehr zuverlässig segmentieren. Lassen Sie uns direkt in die technischen Details einsteigen.

[1:00 - 6:00] Technische Details

Der Kern der OpenWrt-Integration basiert auf CoovaChilli. CoovaChilli ist der Open-Source-Access-Controller, der nicht authentifizierten Client-Datenverkehr abfängt und an das Purple Captive Portal weiterleitet. Wenn sich ein Gast mit Ihrer offenen SSID verbindet, fungiert CoovaChilli als Gatekeeper. Es weist über seinen eigenen internen DHCP-Server, der auf der tun0-Schnittstelle läuft, eine IP-Adresse zu und blockiert den gesamten Datenverkehr mit Ausnahme dessen, was Sie explizit im Walled Garden freigegeben haben.

Wenn der Gast versucht zu surfen, fängt CoovaChilli die HTTP-Anfrage ab und leitet sie an die Purple-Splash-Page weiter. Hier ist die Konfiguration des Walled Garden entscheidend. In Ihrer chilli.conf-Datei müssen Sie den Parameter HS_UAMDOMAINS definieren. Dies ist eine kommagetrennte Liste von Domains, die Gäste vor der Authentifizierung erreichen können. Sie müssen splash.purple.ai, api.purple.ai und die verschiedenen CDN-Domains enthalten, die wir zur Bereitstellung der Portal-Assets verwenden. Wenn Sie eine Domain vergessen, wird das Portal nicht geladen oder die Social-Login-Buttons funktionieren nicht. So einfach ist das.

Sobald sich der Gast im Purple-Portal authentifiziert, sendet der Cloud-RADIUS-Server von Purple eine Access-Accept-Nachricht über den UDP-Port 1812 an CoovaChilli zurück. CoovaChilli autorisiert dann die MAC-Adresse, öffnet die Firewall-Regeln für diese Sitzung und beginnt mit dem Senden von Accounting-Daten über den UDP-Port 1813. Accounting ist nicht optional. Darüber erfasst Purple die Sitzungsdauer und den Datenverbrauch für Ihr Analytics-Dashboard.

Sprechen wir nun über das Mitarbeiter-WiFi. Für Mitarbeiter verwenden Sie CoovaChilli nicht. Für Mitarbeiternetzwerke nutzen Sie hostapd mit WPA2-Enterprise oder WPA3-Enterprise. Dies ist die Standard-802.1X-Authentifizierung. Der Access Point fungiert als Authentifikator und leitet EAP-Nachrichten an Ihren RADIUS-Server weiter. Für Unternehmensgeräte sollten Sie EAP-TLS bereitstellen, das digitale Zertifikate anstelle von Passwörtern verwendet. Dies schließt den Diebstahl von Anmeldedaten vollständig aus. Sie konfigurieren die hostapd.conf so, dass sie auf Ihren RADIUS-Server verweist, und der RADIUS-Server bestimmt die VLAN-Zuweisung für diesen spezifischen Benutzer.

Dies bringt uns zu einer der leistungsstärksten Funktionen in modernen OpenWrt-Bereitstellungen: Private Pre-Shared Keys oder PPSK. In einer Multi-Tenant-Umgebung – beispielsweise einer Mietwohnanlage oder einem Coworking-Space – möchten Sie nicht fünfzig verschiedene SSIDs ausstrahlen. Das ruiniert die Effizienz Ihrer Sendezeit. Stattdessen strahlen Sie eine einzige SSID aus. Wenn sich ein Gerät verbindet, sendet hostapd die MAC-Adresse an den RADIUS-Server. Der RADIUS-Server antwortet mit einer spezifischen Passphrase und einer spezifischen VLAN-ID für dieses Gerät unter Verwendung des Attributs Tunnel-Password.

Das bedeutet, dass der Einzelhandelsmitarbeiter in Geschäft A im VLAN 10 landet, während der Veranstaltungsteilnehmer in der Haupthalle dem VLAN 30 zugewiesen wird – obwohl sich alle mit exakt derselben SSID verbinden. Das ist elegant, skalierbar und setzt das Prinzip der minimalen Rechtevergabe direkt am Edge um.

[6:00 - 8:00] Implementierungsempfehlungen & Fallstricke

Lassen Sie uns über die Implementierung sprechen. Bei der Bereitstellung von OpenWrt mit Purple besteht Ihr erster Schritt immer darin, Ihre RADIUS-Anmeldedaten aus dem Purple-Portal abzurufen. Sie benötigen die primären und sekundären RADIUS-IP-Adressen, das Shared Secret und die Portal-URL.

In Ihrer OpenWrt-Konfiguration definieren Sie Ihre Gastnetzwerk-Schnittstelle – typischerweise eth1 oder wlan0 – und binden CoovaChilli daran. Stellen Sie sicher, dass das HS_RADSECRET in Ihrer chilli.conf exakt mit dem im Purple-Portal übereinstimmt. Bereits eine Abweichung von einem einzigen Zeichen führt zu unbemerkten Authentifizierungsfehlern.

Der größte Fallstrick, den wir sehen, ist die DNS-Auflösung vor der Authentifizierung. CoovaChilli fängt DNS-Anfragen ab. Wenn Ihre vorgeschaltete Firewall den OpenWrt-Router daran hindert, externes DNS aufzulösen, schlägt die Weiterleitung zum Captive Portal fehl. Stellen Sie sicher, dass Ihr OpenWrt-Router uneingeschränkten DNS-Zugriff auf öffentliche Resolver wie Google oder OpenDNS hat.

Ein weiteres häufiges Problem sind die in iOS und Android integrierten Mechanismen zur Erkennung von Captive Portals. Apple-Geräte rufen captive.apple.com auf, um die Internetverbindung zu prüfen. Wenn Sie captive.apple.com in Ihrem Walled Garden auf die Whitelist setzen, denkt das Gerät, es hätte Internetzugriff, und der Assistent für Captive-Netzwerke wird nicht eingeblendet. Wenn Sie das automatische Pop-up wünschen, halten Sie die Domains von Apple aus dem Walled Garden heraus.

[8:00 - 9:00] Schnelle Fragerunde

Lassen Sie uns eine schnelle Fragerunde machen.

Frage eins: Kann ich CoovaChilli und hostapd 802.1X auf demselben OpenWrt-Access-Point ausführen? Ja. Sie binden CoovaChilli an Ihre Gast-SSID-Schnittstelle und konfigurieren hostapd mit 802.1X auf Ihrer Mitarbeiter-SSID-Schnittstelle. Sie arbeiten unabhängig voneinander.

Frage zweit: Unterstützt Purple die dynamische VLAN-Zuweisung mit OpenWrt? Ja. Die RADIUS-Server von Purple können Standard-RADIUS-Attribute zurückgeben, einschließlich Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID, um OpenWrt anzuweisen, den authentifizierten Benutzer in ein bestimmtes VLAN zu leiten.

Frage drei: Was passiert, wenn der OpenWrt-Router die Verbindung zum Purple-RADIUS-Server verliert? CoovaChilli kann neue Sitzungen nicht mehr authentifizieren. Bestehende autorisierte Sitzungen bleiben aktiv, bis ihr Sitzungs-Timeout abläuft. Konfigurieren Sie immer den sekundären Purple-RADIUS-Servero ensure high availability.

[9:00 - 10:00] Zusammenfassung & Nächste Schritte

Zusammenfassend lässt sich sagen: OpenWrt bietet eine robuste, hardwareunabhängige Plattform für Enterprise-WiFi. Durch die Integration von CoovaChilli für den Gastzugang und hostapd für sicheres Mitarbeiter- und mandantenfähiges PPSK bauen Sie ein identitätsbasiertes Netzwerk auf. Purple abstrahiert die Komplexität der RADIUS-Infrastruktur und bietet ein cloud-verwaltetes Captive Portal, das First-Party-Daten erfasst und die Einhaltung von Vorschriften gewährleistet.

Ihr nächster Schritt besteht darin, Ihre aktuellen benutzerdefinierten Firmware-Bereitstellungen zu überprüfen. Stellen Sie sicher, dass Ihre Walled Gardens vollständig konfiguriert sind, verifizieren Sie Ihre RADIUS-Accounting-Intervalle und beginnen Sie mit der Planung Ihrer Migration von gemeinsam genutzten PSKs zu einer dynamischen PPSK-Segmentierung.

Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben. Um mehr darüber zu erfahren, wie Purple Ihr Gast-WiFi sichern und monetarisieren kann, besuchen Sie purple.ai. Bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓OpenWrt benötigt CoovaChilli, um die Captive Portal-Weiterleitung für Gästenetzwerke zu erzwingen; es bietet dies nicht nativ an. Installieren Sie coova-chilli über opkg und konfigurieren Sie HS_RADIUS, HS_RADSECRET und HS_UAMDOMAINS, bevor Sie den Dienst aktivieren.
✓Der Walled Garden (HS_UAMDOMAINS) ist das betrieblich kritischste Konfigurationselement. Fehlende Domains führen dazu, dass das Portal oder die Social-Login-Flüsse nicht funktionieren. Verwenden Sie die Browser-Entwicklertools auf einem Testgerät, um blockierte Pre-Auth-Anfragen systematisch zu identifizieren.
✓Mitarbeiternetzwerke müssen hostapd mit WPA2-Enterprise (802.1X) verwenden. Das Paket wpad-mini unterstützt dies nicht – installieren Sie für jede Bereitstellung, die eine Enterprise-Authentifizierung oder dynamische VLAN-Zuweisung erfordert, immer wpad-openssl.
✓Private Pre-Shared Keys (PPSK) ermöglichen die Segmentierung mehrerer Mandanten auf einer einzigen SSID, indem RADIUS eine eindeutige Passphrase und VLAN-ID pro Geräte-MAC-Adresse zurückgibt. Dies eliminiert die SSID-Flut und verbessert die HF-Leistung in dichten Umgebungen.
✓RADIUS-Accounting (UDP 1813) ist für die Purple-Analyse zwingend erforderlich. Konfigurieren Sie sowohl HS_RADIUS als auch HS_RADIUS2 mit Accounting-Ports und überprüfen Sie, ob ausgehender UDP-Port 1813 durch die Edge-Firewall des Standorts zugelassen wird.
✓Die dynamische VLAN-Zuweisung auf ath10k-Hardware erfordert OpenWrt 21.02 oder neuer aufgrund einer bekannten AP/VLAN-Regression im ath10k-ct-Treiber in Version 19.07.
✓Konfigurieren Sie immer einen sekundären Purple RADIUS-Server (HS_RADIUS2) für das Failover. Wenn der primäre Server nicht erreichbar ist, schlägt die Authentifizierung neuer Sitzungen durch CoovaChilli fehl, bis der primäre Server wieder erreichbar ist.

कार्यकारी सारांश (Executive summary)

OpenWrt हे अशा IT टीम्ससाठी पसंतीचे फर्मवेअर आहे ज्यांना एंटरप्राइझ-ग्रेड नियंत्रण न गमावता हार्डवेअर स्वातंत्र्याची आवश्यकता असते. हॉस्पिटॅलिटी, रिटेल आणि सार्वजनिक क्षेत्रातील ठिकाणांवर तैनात केलेले, हे पूर्णपणे कॉन्फिगर करण्यायोग्य Linux-आधारित नेटवर्क स्टॅक प्रदान करते. परंतु डीफॉल्ट स्वरूपात, OpenWrt एक कोरा कॅनव्हास आहे. संरचित ओळख स्तराशिवाय (identity layer), अतिथी नेटवर्क्स व्यवस्थापित करणे कठीण होते, कर्मचारी नेटवर्क्स असुरक्षित राहतात आणि मल्टी-टेनंट वातावरण एकाच सपाट नेटवर्कमध्ये संकुचित होते.

हे मार्गदर्शक OpenWrt ला Purple च्या क्लाउड RADIUS आणि Captive Portal प्लॅटफॉर्मशी जोडण्यासाठी निश्चित एकत्रीकरण प्लेबुक प्रदान करते. आम्ही चार वेगवेगळ्या उपयोजन परिस्थिती कव्हर करतो: CoovaChilli वापरून अतिथी Captive Portal पुनर्निर्देशन (redirection), iptables वॉल्ड गार्डन कॉन्फिगरेशन, hostapd आणि IEEE 802.1X वापरून सुरक्षित कर्मचारी WiFi, आणि डायनॅमिक VLAN असाइनमेंटसह प्रायव्हेट प्री-शेअर्ड की (PPSK) वापरून मल्टी-टेनंट सेगमेंटेशन. शेवटी, तुमच्याकडे कोणत्याही OpenWrt-सक्षम हार्डवेअरवर उत्पादन-तयार, GDPR-सुसंगत, ओळख-चालित नेटवर्क तैनात करण्यासाठी अचूक कॉन्फिगरेशन पॅरामीटर्स, सामान्य त्रुटींचे प्रकार आणि निर्णय घेण्याची फ्रेमवर्क असेल.

Purple हे ८०,०००+ हून अधिक लाइव्ह ठिकाणी कार्यरत आहे आणि २०२४ मध्ये ४४० दशलक्ष लॉगिन प्रक्रियेतून गेले आहेत (Purple अंतर्गत डेटा, २०२४). येथे वर्णन केलेले आर्किटेक्चर हेच हॉस्पिटॅलिटी चेन्स, रिटेल इस्टेट्स आणि ट्रान्सपोर्ट हबमध्ये मोठ्या प्रमाणावर तैनात केलेले आहे.

तांत्रिक सखोल विश्लेषण (Technical deep-dive)

CoovaChilli captive portal आर्किटेक्चर

OpenWrt वर Guest WiFi तैनात करताना, CoovaChilli हे उद्योग-मानक ॲक्सेस कंट्रोलर आहे. हे एक Captive Portal डिमन म्हणून कार्य करते जे अनधिकृत क्लायंट ट्रॅफिक अडवते, tun0 व्हर्च्युअल इंटरफेसवरील त्याच्या अंतर्गत DHCP सर्व्हरद्वारे IP पत्ते प्रदान करते, आणि थेट व्यवस्थापित करत असलेल्या iptables नियमांचा वापर करून वॉल्ड गार्डन धोरणे लागू करते.

प्रमाणीकरण (authentication) प्रवाह खालीलप्रमाणे कार्य करतो. अतिथी डिव्हाइस ओपन SSID शी जोडले जाते. CoovaChilli डिव्हाइसला त्याच्या अंतर्गत पूल मधून (सहसा 10.1.0.0/24) एक IP पत्ता नियुक्त करते. जेव्हा डिव्हाइस त्याची पहिली HTTP विनंती पाठवते, तेव्हा CoovaChilli ती अडवते आणि Purple स्प्लॅश पेज URL वर HTTP 302 पुनर्निर्देशन जारी करते. या पूर्व-प्रमाणीकरण (pre-authentication) टप्प्यादरम्यान, डिव्हाइस वेगळे केले जाते - ते केवळ वॉल्ड गार्डनमध्ये स्पष्टपणे सूचीबद्ध केलेल्या डोमेनपर्यंत पोहोचू शकते.

एकदा अतिथीने Purple पोर्टलवर प्रमाणीकरण पूर्ण केले की, Purple चे क्लाउड RADIUS सर्व्हर UDP पोर्ट 1812 वर CoovaChilli ला Access-Accept संदेश पाठवते. त्यानंतर CoovaChilli त्या विशिष्ट MAC पत्त्यासाठी इंटरनेट प्रवेशाची परवानगी देण्यासाठी त्याचे iptables नियम अद्यतनित करते आणि UDP पोर्ट 1813 वर Purple RADIUS अकाउंटिंग सर्व्हरकडे अकाउंटिंग डेटा (सत्र कालावधी, हस्तांतरित केलेले बाईट्स) पाठवू लागते. अकाउंटिंग पर्यायी नाही - हे असे माध्यम आहे ज्याद्वारे Purple तुमच्या WiFi Analytics डॅशबोर्डमध्ये सत्राच्या डेटासह माहिती भरते.

वॉल्ड गार्डन (Walled garden): iptables आणि डोमेन परवानगी सूची

कोणत्याही Captive Portal उपयोजनामध्ये वॉल्ड गार्डन हा सर्वात महत्त्वपूर्ण ऑपरेशनल कॉन्फिगरेशन घटक आहे. CoovaChilli दोन माध्यमांद्वारे वॉल्ड गार्डन व्यवस्थापित करते: वैयक्तिक IP पत्त्यांसाठी uamallowed पॅरामीटर आणि DNS तपासणीसह डोमेन-आधारित परवानगी सूचीसाठी uamdomains पॅरामीटर.

Purple इंटिग्रेशनसाठी, किमान आवश्यक वॉल्ड गार्डन नोंदी खालीलप्रमाणे आहेत:

डोमेन	उद्देश
`*.purple.ai`	पोर्टल मालमत्ता, API, आणि प्रमाणीकरण एंडपॉइंट्स
`*.googleapis.com`	Google Fonts आणि Google Sign-In
`*.gstatic.com`	Google कनेक्टिव्हिटी तपासणी आणि स्थिर मालमत्ता
`*.facebook.com`	Facebook Login API
`*.fbcdn.net`	लॉगिन मालमत्तेसाठी Facebook CDN
`captive.apple.com`	Apple CNA शोध (खालील टीप पहा)
`connectivitycheck.gstatic.com`	Android Captive Portal शोध

Apple CNA व्यवस्थापनावर टीप: जर तुम्ही वॉल्ड गार्डनमध्ये captive.apple.com समाविष्ट केले, तर iOS डिव्हाइसेस प्रमाणीकरणापूर्वी इंटरनेट कनेक्टिव्हिटी शोधतील आणि Captive Network Assistant पॉप-अप दाबून टाकतील (दाखवणार नाहीत). बहुतांश आदरातिथ्य (hospitality) उपयोजने मुद्दाम हे डोमेन वगळतात जेणेकरून स्वयंचलित पोर्टल प्रॉम्प्ट सुरू होईल. योग्य पर्याय तुमच्या अतिथी अनुभवाच्या रचनेवर अवलंबून असतो.

सुरक्षित कर्मचारी WiFi: hostapd आणि IEEE 802.1X

अतिथी नेटवर्कसाठी अडथळा नसलेल्या ऑनबोर्डिंगची आवश्यकता असते. कर्मचारी नेटवर्कसाठी पूर्ण सुरक्षिततेची आवश्यकता असते. अंतर्गत वापरकर्त्यांसाठी, OpenWrt IEEE 802.1X प्रमाणीकरण सुलभ करण्यासाठी hostapd चा वापर करते. या आर्किटेक्चरमध्ये, OpenWrt ॲक्सेस पॉइंट Authenticator म्हणून काम करतो, जे क्लायंट डिव्हाइस (Supplicant) आणि Purple RADIUS सर्व्हर दरम्यान Extensible Authentication Protocol (EAP) संदेश फॉरवर्ड करते.

कॉर्पोरेट डिव्हाइसेससाठी, EAP-TLS हा अनिवार्य मानक आहे. हे परस्पर प्रमाणपत्र प्रमाणीकरणावर अवलंबून असते - सर्व्हर आणि क्लायंट डिव्हाइस दोन्ही डिजिटल प्रमाणपत्रे सादर करतात - ज्यामुळे पासवर्ड आणि संबंधित क्रेडेंशियल चोरी किंवा फिशिंगचे धोके पूर्णपणे नष्ट होतात. संपूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) साठी अद्याप तयार नसलेल्या वातावरणासाठी, PEAP-MSCHAPv2 वापरकर्ता नाव आणि पासवर्ड क्रेडेंशियलचे संरक्षण करण्यासाठी एनक्रिप्टेड टनेलचा वापर करून एक चांगला अंतरिम पर्याय प्रदान करतो.

जेव्हा एखादा कर्मचारी यशस्वीरित्या ऑथेंटिकेट करतो, तेव्हा RADIUS सर्व्हर ऑथरायझेशन ॲट्रिब्युट्स परत करतो. नेटवर्क सेगमेंटेशनसाठी मुख्य ॲट्रिब्युट Tunnel-Private-Group-ID आहे, जे OpenWrt ला युझरला योग्य VLAN मध्ये डायनॅमिकली असाइन करण्याचे निर्देश देते. आयडेंटिटी-बेस्ड नेटवर्क्स (Identity-Based Networks) मागची हीच यंत्रणा आहे: युझरची ओळख (identity), त्यांचे भौतिक स्थान नाही, त्यांचे नेटवर्क ॲक्सेस ठरवते.

मल्टी-टेनंट सेगमेंटेशन: OpenWrt PPSK कॉन्फिगरेशन

मल्टी-टेनंट वातावरणात - जसे की कोवर्कर्स स्पेसेस, बिल्ड-टू-रेंट (BTR) प्रॉपर्टीज, एकाधिक विक्रेते असलेले रिटेल सेंटर्स किंवा स्वतंत्र स्पॉन्सर झोन असलेले स्टेडियम्स - एकाधिक SSIDs ब्रॉडकास्ट करणे हे ऑपरेशनली खर्चिक आणि RF-अकार्यक्षम असते. प्रत्येक अतिरिक्त SSID मॅनेजमेंट फ्रेम ओव्हरहेड वाढवतो, ज्यामुळे डेटा ट्रॅफिकसाठी उपलब्ध एअरटाइम कमी होतो.

प्रायव्हेट प्री-शेअर्ड की (PPSK), ज्याला कधीकधी डायनॅमिक PSK देखील म्हटले जाते, यावर उपाय शोधतात. तुम्ही एकच SSID ब्रॉडकास्ट करता. जेव्हा एखादे डिव्हाइस कनेक्ट करण्याचा प्रयत्न करते, तेव्हा hostapd प्रमाणित Access-Request द्वारे डिव्हाइसचा MAC ॲड्रेस RADIUS सर्व्हरकडे पाठवते. RADIUS सर्व्हर त्याच्या डेटाबेसमध्ये MAC ॲड्रेसची पडताळणी करतो आणि दोन महत्त्वपूर्ण ॲट्रिब्युट्स असलेले Access-Accept परत करतो: Tunnel-Password ॲट्रिब्युट (त्या डिव्हाइससाठी युनिक पासफ्रेज) आणि Tunnel-Private-Group-ID ॲट्रिब्युट (VLAN असाइनमेंट). डिव्हाइस त्याच्या युनिक पासफ्रेजचा वापर करून कनेक्ट होते आणि थेट त्याच्या नियुक्त केलेल्या VLAN वर जाते.

याचा अर्थ असा आहे की एखादा रिटेल मॅनेजर आणि इव्हेंटला आलेला व्यक्ती एकाच SSID शी कनेक्ट होऊ शकतात परंतु त्यांच्या युनिक ओळखीच्या आधारावर पूर्णपणे वेगळ्या, आयसोलेटेड नेटवर्क्सवर राउट केले जाऊ शकतात.

इम्प्लीमेंटेशन गाईड

पायरी १: Purple RADIUS क्रेडेंशियल्स मिळवा

OpenWrt कॉन्फिगरेशनला हात लावण्यापूर्वी, Purple पोर्टल ॲडमिन कन्सोलमधून खालील गोष्टी मिळवा:

प्रायमरी RADIUS सर्व्हर IP ॲड्रेस
सेकंडरी RADIUS सर्व्हर IP ॲड्रेस (फेलओव्हरसाठी)
RADIUS शेअर्ड सिक्रेट (Shared Secret)
Captive Portal Splash Page URL
पोस्ट-ऑथेंटिकेशन रिडायरेक्ट URL

पायरी २: गेस्ट WiFi साठी CoovaChilli इंस्टॉल आणि कॉन्फिगर करा

opkg द्वारे coova-chilli पॅकेज इंस्टॉल करा:

opkg update &amp;&amp; opkg install coova-chilli

मुख्य कॉन्फिगरेशन फाईल /etc/chilli/defaults ही आहे. मुख्य नेटवर्क पॅरामीटर्स परिभाषित करा:

# Network interfaces
HS_WANIF=eth0           # Upstream internet interface
HS_LANIF=wlan0          # The guest WiFi interface (or a VLAN sub-interface)

# Guest subnet
HS_NETWORK=10.10.20.0
HS_NETMASK=255.255.255.0
HS_UAMLISTEN=10.10.20.1 # CoovaChilli's IP on the guest network
HS_UAMPORT=3990

# Purple RADIUS integration
HS_RADIUS=
HS_RADIUS2=
HS_RADSECRET=
HS_NASID=venue-openwrt-01

# Purple splash page
HS_UAMSERVER=

# Walled garden - domain-based allowlisting
HS_UAMDOMAINS=".purple.ai,.googleapis.com,.gstatic.com,.facebook.com,.fbcdn.net"

सर्व्हिस सुरू आणि सक्रिय करा:

/etc/init.d/chilli enable
/etc/init.d/chilli start

पायरी 3: गेस्ट SSID साठी OpenWrt वायरलेस इंटरफेस कॉन्फिगर करा

/etc/config/wireless मध्ये, गेस्ट SSID ला CoovaChilli व्यवस्थापित करत असलेल्या इंटरफेसशी बांधील असलेले ओपन नेटवर्क म्हणून परिभाषित करा:

config wifi-iface 'guest_wifi'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'Venue_Guest'
    option encryption 'none'
    option isolate '1'

क्लायंट आयसोलेशन (isolate '1') गेस्ट डिव्हाइसेसना एकमेकांशी संवाद साधण्यापासून रोखते - कोणत्याही सामायिक नेटवर्कसाठी हे एक अनिवार्य सुरक्षा नियंत्रण आहे.

पायरी 4: 802.1X स्टाफ WiFi साठी hostapd कॉन्फिगर करा

स्टाफ SSID साठी, /etc/config/wireless मध्ये WPA2-Enterprise कॉन्फिगर करा:

config wifi-iface 'staff_wifi'
    option device 'radio0'
    option network 'staff_vlan10'
    option mode 'ap'
    option ssid 'Venue_Staff'
    option encryption 'wpa2'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option vlan_bridge 'br-vlan'
    option vlan_naming '0'

dynamic_vlan '2' सेट केल्याने hostapd ला RADIUS सर्व्हरद्वारे परत केलेले VLAN असाइनमेंट लागू करण्याचे आणि कोणतेही VLAN परत न आल्यास प्रमाणीकरण नाकारण्याचे निर्देश मिळतात.

पॅकेज आवश्यकता: मानक wpad-mini पॅकेज WPA2-Enterprise ला सपोर्ट करत नाही. तुम्ही wpad किंवा wpad-openssl इंस्टॉल करणे आवश्यक आहे:

opkg remove wpad-mini &amp;&amp; opkg install wpad-openssl

पायरी 5: मल्टी-टेनंट सेगमेंटेशनसाठी PPSK कॉन्फिगर करा

PPSK ला RADIUS सर्व्हरच्या विरोधात MAC ॲड्रेस प्रमाणीकरण करण्यासाठी hostapd ची आवश्यकता असते, जे नंतर प्रति-डिव्हाइस पासफ्रेज परत करते. /etc/config/wireless मध्ये:

config wifi-iface 'ppsk_ssid'
    option device 'radio0'
    option mode 'ap'
    option ssid 'Venue_Connect'
    option encryption 'psk2'
    option key 'default_fallback_key'
    option macfilter 'radius'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option wpa_psk_radius '2'

wpa_psk_radius '2' पॅरामीटर hostapd ला RADIUS प्रतिसादातून Tunnel-Password विशेषता आवश्यक असल्याचे निर्देश देतो. जर RADIUS सर्व्हरने पासफ्रेज परत केला नाही, तर प्रमाणीकरण नाकारले जाते.

Purple RADIUS बाजूला, तुमच्या FreeRADIUS कॉन्फिगरेशनचा (किंवा समतुल्य) authorize विभाग MAC ॲड्रेसेसना पासफ्रेज आणि VLAN IDs शी मॅप करतो:

# PPSK साठी RADIUS ऑथोराईझ एन्ट्रीचे उदाहरण
AA:BB:CC:DD:EE:FF   Auth-Type := Accept
    Tunnel-Password = "GuestPass2024",
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-ID = "20"

पायरी 6: डायनॅमिक VLAN असाइनमेंट कॉन्फिगर करा

डायनॅमिक VLAN असाइनमेंट कार्य करण्यासाठी, तुमचे OpenWrt स्विच कोर स्विचशी जोडणाऱ्या ट्रंक पोर्टवर संबंधित VLANs टॅग केलेले ट्रॅफिक म्हणून वाहून नेण्यासाठी कॉन्फिगर केलेले असणे आवश्यक आहे. /etc/config/network मध्ये:

config interface 'vlan10'
    option ifname 'eth0.10'
    option proto 'dhcp'

config interface 'vlan20'
    option ifname 'eth0.20'
    option proto 'dhcp'

config interface 'vlan30'
    option ifname 'eth0.30'
    option proto 'dhcp'

तुमचे कोर स्विच पोर्ट ट्रंक म्हणून कॉन्फिगर केले असल्याची खात्री करा, जे VLANs 10, 20 आणि 30 टॅग केलेले पाठवेल.

सर्वोत्तम पद्धती

पूर्णपणे नेटवर्क अलगाव (Absolute network segregation). गेस्ट इंटरफेसेसना अंतर्गत नेटवर्कशी कधीही ब्रिज करू नका. गेस्ट ट्रॅफिक समर्पित VLAN वर वेगळे केले पाहिजे आणि थेट इंटरनेट फायरवॉलकडे पाठवले पाहिजे. PCI DSS 4.0 चे पालन करण्यासाठी ही एक अनिवार्य आवश्यकता आहे, ज्यामध्ये अशी तरतूद आहे की गेस्ट WiFi नेटवर्क्स कार्डधारक डेटा हाताळणाऱ्या कोणत्याही नेटवर्क सेगमेंटपासून पूर्णपणे वेगळे असावेत.

अचूक वॉल्ड गार्डन (Walled garden precision). अपूर्ण वॉल्ड गार्डन हे Captive Portal अयशस्वी होण्याचे मुख्य कारण आहे. गेस्ट SSID शी कनेक्ट केलेल्या चाचणी डिव्हाइसवर तुमच्या ब्राउझरचे डेव्हलपर टूल्स वापरा, जेणेकरून प्रमाणीकरणापूर्वी कोणते रिक्वेस्ट्स ब्लॉक केले जात आहेत हे ओळखता येईल. प्रत्येक ब्लॉक केलेले डोमेन हे पोर्टल अयशस्वी होण्याचे संभाव्य कारण असू शकते.

RADIUS अकाउंटिंग अंतराळ (RADIUS accounting intervals). CoovaChilli अकाउंटिंग अंतर १२० सेकंदांवर कॉन्फिगर करा. यामुळे अतिरिक्त RADIUS ट्रॅफिक निर्माण न करता Purple ॲनालिटिक्स डॅशबोर्डमध्ये रिअल-टाइमच्या जवळचा सेशन डेटा मिळतो.

दुय्यम RADIUS सर्व्हर. तुमच्या CoovaChilli कॉन्फिगरेशनमध्ये नेहमी HS_RADIUS2 कॉन्फिगर करा. मुख्य Purple RADIUS सर्व्हर अनुपलब्ध असल्यास, CoovaChilli नवीन सेशन्स प्रमाणित करू शकणार नाही. दुय्यम सर्व्हर ॲक्सेस पॉइंटवर कोणत्याही कॉन्फिगरेशन बदलाशिवाय स्वयंचलित फेलओव्हर प्रदान करतो.

पॅकेज निवड. बऱ्याच OpenWrt बिल्ड्ससह येणारे wpad-mini पॅकेज WPA2-Enterprise किंवा डायनॅमिक VLAN असाइनमेंटला सपोर्ट करत नाही. 802.1X किंवा PPSK आवश्यक असणाऱ्या कोणत्याही उपयोजनासाठी (deployment) नेहमी wpad-openssl इंस्टॉल करा.

एंटरप्राइझ WiFi सुरक्षा आर्किटेक्चरवरील अधिक मार्गदर्शनासाठी, आमचे Enterprise WiFi Security: A Complete Guide for 2026 पहा.

त्रुटी निवारण आणि जोखीम निवारण

लक्षण	संभाव्य कारण	उपाय
रिडायरेक्शननंतर पोर्टल लोड होत नाही	अपूर्ण वॉल्ड गार्डन	गहाळ असलेले CDN/API डोमेन्स `HS_UAMDOMAINS` मध्ये जोडा
प्रमाणीकरण न सांगता अयशस्वी होते	RADIUS सामायिक सिक्रेट विसंगती	`HS_RADSECRET` हे CoovaChilli आणि Purple पोर्टल दोन्हीमध्ये अचूक जुळत असल्याची खात्री करा
Purple ॲनालिटिक्समध्ये डेटा नाही	RADIUS अकाउंटिंग ब्लॉक केले आहे	आउटबाउंड UDP 1813 ला परवानगी असल्याची खात्री करा; `HS_RADIUS2` अकाउंटिंग कॉन्फिगरेशन तपासा
iOS वर पोर्टल पॉप-अप दिसत नाही	वॉल्ड गार्डनमध्ये `captive.apple.com` आहे	`HS_UAMDOMAINS` मधून Apple डिटेक्शन डोमेन्स काढा
PPSK क्लायंट चुकीच्या VLAN वर जातात	`vlan_tagged_interface` चुकीचे कॉन्फिगर केले आहे	OpenWrt आणि कोर स्विच दोन्हीवर ट्रंक पोर्ट कॉन्फिगरेशन तपासा
wpad त्रुटीसह 802.1X प्रमाणीकरण अयशस्वी	`wpad-mini` इंस्टॉल केलेले आहे	`wpad-mini` काढा, `wpad-openssl` इंस्टॉल करा
Dynamic VLAN fails on ath10k	Known driver issue in older builds	Update to OpenWrt 21.02 or later; use non-CT ath10k firmware

GDPR अनुपालन नोंद: CoovaChilli स्वतः वैयक्तिक डेटा गोळा किंवा स्टोअर करत नाही. सर्व संमती मिळवणे, डेटा प्रक्रिया करणे आणि GDPR अनुपालन यंत्रणा पोर्टल लेयरवर Purple प्लॅटफॉर्मद्वारे हाताळल्या जातात. लाइव्ह जाण्यापूर्वी तुमचे Purple पोर्टल तुमच्या वेन्यूच्या अटी व शर्ती आणि डेटा प्रोसेसिंग नोटीससह कॉन्फिगर केले असल्याची खात्री करा.

संबंधित हार्डवेअर इंटिग्रेशन पॅटर्नसाठी, आमचे EnGenius Cloud Access Points Integration with Purple WiFi आणि DrayTek Vigor Routers and Access Points Integration with Purple WiFi वरील मार्गदर्शक पहा.

ROI आणि व्यावसायिक प्रभाव

बेसिक PSK नेटवर्कवरून Purple-व्यवस्थापित OpenWrt आर्किटेक्चरवर स्थलांतरित केल्याने तीन आयामांमध्ये मोजण्यायोग्य प्रभाव दिसून येतो.

डेटा कॅप्चर आणि मार्केटिंग. Captive Portal ऑथेंटिकेशन लागू करून, वेन्यू WiFi कनेक्शनच्या वेळी सुसंगत, फर्स्ट-पार्टी डेमोग्राफिक डेटा - नावे, ईमेल पत्ते, सोशल प्रोफाइल - कॅप्चर करतात. हा डेटा थेट CRM आणि ईमेल मार्केटिंग प्लॅटफॉर्मवर पाठवला जातो, ज्यामुळे लॉयल्टी प्रोग्राम साइन-अप वाढतात आणि लक्ष्यित मोहिमा सक्षम होतात. Purple ने 2024 मध्ये 440 दशलक्ष लॉगिनवर प्रक्रिया केली आहे (Purple अंतर्गत डेटा), जे नेटवर्क एजवर शक्य असलेल्या फर्स्ट-पार्टी डेटा कॅप्चरचे प्रमाण दर्शवते.

ऑपरेशनल कार्यक्षमता. PPSK लागू केल्याने SSID ओव्हरहेड कमी होतो, ज्यामुळे दाट वातावरणात WiFi कामगिरी सुधारते. 200-लोकेशन असलेल्या रिटेल चेनसाठी, प्रत्येक साइटवर स्थानिक राउटर कॉन्फिगरेशन अपडेट करण्याऐवजी - Purple च्या क्लाउड RADIUS द्वारे मध्यवर्ती पद्धतीने ओळख व्यवस्थापित केल्याने - दरवर्षी शेकडो इंजिनिअरिंग तास वाचतात. एकच RADIUS पॉलिसी बदल सर्व 200 ठिकाणी त्वरित लागू होतो.

सुरक्षा आणि अनुपालन. डायनॅमिक VLAN असाइनमेंट एजवर सर्वात कमी-विशेषाधिकार प्रवेश (least-privilege access) लागू करते. कर्मचारी पाहुण्यांपासून वेगळे केले जातात. IoT डिव्हाइसेस कर्मचाऱ्यांपासून वेगळे केले जातात. POS टर्मिनल्स इतर सर्व ट्रॅफिकपासून वेगळे केले जातात. हे वर्गीकरण PCI DSS 4.0 नेटवर्क आयसोलेशन आवश्यकता पूर्ण करते आणि GDPR अनुपालन पुनरावलोकनांसाठी स्पष्ट, ऑडिट करण्यायोग्य नेटवर्क टोपोलॉजी प्रदान करते.

विशिष्ट क्षेत्रांतील डिप्लॉयमेंट पॅटर्नसाठी, आमचे Retail , Hospitality , Healthcare , आणि Transport वातावरणासाठीचे मार्गदर्शक पहा. वेन्यू डिप्लॉयमेंटमधील पूरक वायरलेस तंत्रज्ञान समजून घेण्यासाठी तुम्हाला आमचे What Is Wireless Display: Protocols & Best Practices 2026 वरील मार्गदर्शक देखील उपयुक्त वाटू शकते.

Schlüsseldefinitionen

CoovaChilli

Ein Open-Source-Software-Access-Controller, der ein Captive Portal und eine Walled Garden-Umgebung für drahtlose Netzwerke bereitstellt und RADIUS für Authentifizierung und Accounting nutzt.

IT-Teams stellen CoovaChilli auf OpenWrt bereit, um den HTTP-Datenverkehr von Gästen abzufangen und auf die Purple Splash Page umzuleiten. Es verwaltet die iptables-Regeln, die den Walled Garden erzwingen und nach der Authentifizierung den Internetzugang freigeben.

Walled garden

Eine strikte Freigabeliste (Allowlist) von IP-Adressen oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen kann, bevor er die Captive Portal-Authentifizierung abschließt.

Entscheidend dafür, dass Gastgeräte die Grafiken des Purple-Portals laden und Social-Media-Login-APIs erreichen können, während der allgemeine Internetzugang blockiert bleibt. Ein unvollständiger Walled Garden ist die häufigste Ursache für Fehler beim Captive Portal.

PPSK (Private Pre-Shared Key)

Ein Sicherheitsmechanismus, bei dem einzelnen Benutzern oder Geräten eindeutige Passphrasen für dieselbe WiFi-SSID zugewiesen werden, wobei RADIUS die korrekte Passphrase und VLAN-Zuweisung pro Geräte-MAC-Adresse zurückgibt.

Wird verwendet, um mandantenfähige Umgebungen zu segmentieren, ohne mehrere SSIDs auszustrahlen. Unterstützt in OpenWrt über den Parameter wpa_psk_radius in hostapd.

Dynamic VLAN assignment

Der Prozess, bei dem ein RADIUS-Server den Access Point anweist, einen bestimmten authentifizierten Benutzer in ein bestimmtes virtuelles LAN zu platzieren, unter Verwendung der RADIUS-Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID.

Der Kernmechanismus für identitätsbasierte Netzwerke. Die Identität des Benutzers, nicht sein physischer Port, bestimmt sein Netzwerksegment und seine Zugriffsrechte.

IEEE 802.1X

Der IEEE-Standard für portbasierte Netzwerksicherheitskontrolle, der die Rollen Authenticator (Access Point), Supplicant (Client-Gerät) und Authentication Server (RADIUS) bei der Enterprise-WiFi-Authentifizierung definiert.

Das zugrunde liegende Protokoll für sicheres Mitarbeiter-WiFi auf OpenWrt. Erfordert das vollständige Paket wpad oder wpad-openssl – wpad-mini unterstützt dies nicht.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine 802.1X-Authentifizierungsmethode, die auf gegenseitiger zertifikatsbasierter Authentifizierung basiert und erfordert, dass sowohl der RADIUS-Server als auch das Client-Gerät gültige digitale Zertifikate vorlegen.

Der Goldstandard für die Authentifizierung von Unternehmensgeräten. Eliminiert Passwörter vollständig und neutralisiert so Vorfälle von Anmeldedaten-Diebstahl und Phishing-Angriffe. Erfordert eine PKI-Infrastruktur zur Ausstellung von Client-Zertifikaten.

Captive Network Assistant (CNA)

Der Pseudo-Browser, den iOS- und Android-Geräte automatisch anzeigen, wenn sie erkennen, dass sie sich hinter einem Captive Portal befinden, basierend auf der Abfrage bestimmter Erkennungs-URLs.

Netzwerktechniker müssen ihre Walled Gardens sorgfältig verwalten, um zu steuern, ob der CNA automatisch ausgelöst wird. Die meisten Bereitstellungen im Gastgewerbe schließen Apple- und Google-Erkennungsdomains aus, um das CNA-Pop-up zu erzwingen.

RADIUS accounting

Die dritte Säule des AAA-Frameworks (Authentication, Authorization, Accounting), die den Verbrauch von Netzwerkressourcen durch Aufzeichnung von Sitzungsstart-, Zwischenaktualisierungs- und Sitzungsstopp-Ereignissen auf UDP-Port 1813 verfolgt.

Erforderlich für Purple, um das Analytics-Dashboard mit Sitzungsdauer und Bandbreitendaten zu füllen. Konfiguriert in CoovaChilli über HS_RADIUS2 und den Parameter radiusacctport.

hostapd

Der Open-Source-IEEE-802.11-Access-Point-Daemon, der von OpenWrt zur Verwaltung von Funkschnittstellen verwendet wird und die Authentifizierungsmodi WPA2/WPA3-Enterprise, 802.1X und PPSK unterstützt.

Der Kern-Daemon für Mitarbeiter- und PPSK-WiFi auf OpenWrt. Das Paket wpad-openssl bietet den voll ausgestatteten hostapd-Build, der für die Enterprise-Authentifizierung erforderlich ist.

Tunnel-Password attribute

Ein RADIUS-Attribut (Attribut 69), das in PPSK-Bereitstellungen verwendet wird, um während der MAC-Authentifizierung eine gerätespezifische Passphrase vom RADIUS-Server an den Access Point zurückzugeben.

Der Mechanismus, über den der RADIUS-Server von Purple eindeutige PSKs an den hostapd-Daemon von OpenWrt für die PPSK-basierte mandantenfähige Segmentierung liefert.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss einen gestuften WiFi-Zugang bereitstellen: kostenloses Basis-Internet für Gäste, Highspeed-Zugang für Loyalty-Mitglieder und sicheren Zugang für Point-of-Sale-Geräte des Personals. Das IT-Team möchte den SSID-Overhead minimieren und eine PCI DSS-Netzwerkisolation zwischen den POS-Terminals und dem Gästedatenverkehr erzwingen.

Stellen Sie OpenWrt Access Points bereit, die zwei SSIDs ausstrahlen: 'Hotel_Guest' (offen, CoovaChilli-verwaltet) und 'Hotel_Secure' (PPSK-verwaltet über hostapd). Auf 'Hotel_Guest' leitet CoovaChilli den gesamten nicht authentifizierten Datenverkehr auf die Purple Splash Page um. Gäste authentifizieren sich über das Portal und landen im VLAN 20 (nur Internet). Auf 'Hotel_Secure' konfigurieren Sie hostapd mit wpa_psk_radius=2. Wenn sich das Gerät eines Loyalty-Mitglieds verbindet, gibt der RADIUS-Server dessen eindeutigen PSK und VLAN 21 (höhere Bandbreitenstufe) zurück. Wenn sich ein POS-Terminal verbindet, gibt der RADIUS-Server den POS-Geräte-PSK und VLAN 10 zurück (interner Netzwerkzugriff, Internet blockiert). Die VLAN-Segmentierung erzwingt die PCI DSS-Isolation zwischen Karteninhaberdaten (VLAN 10) und Gästedatenverkehr (VLANs 20 und 21) auf Access-Point-Ebene.

Kommentar des Prüfers: Diese Architektur verwendet zwei SSIDs anstelle von einer, um den Captive Portal-Fluss (Gäste) vom PPSK-Fluss (Personal und Loyalty) zu trennen. Dies ist der richtige Ansatz, da CoovaChilli und hostapd PPSK grundlegend unterschiedliche Authentifizierungsmodelle bedienen. Die Kombination auf einer einzigen SSID erfordert eine RADIUS-Proxy-Konfiguration, die unnötige Komplexität verursacht. Das Zwei-SSID-Modell ist einfacher, zuverlässiger und für PCI DSS-Audits leichter zu überprüfen.

Eine Einzelhandelskette führt OpenWrt-Router an 50 Standorten ein. Während des UAT am ersten Standort lädt die Purple Splash Page nach der Weiterleitung korrekt, aber das Klicken auf den Facebook-Login-Button führt zu einem Verbindungs-Timeout. Der Google Sign-In-Button funktioniert einwandfrei.

Das Problem ist ein unvollständiger CoovaChilli Walled Garden. Der Authentifizierungsfluss von Facebook erfordert Zugriff auf mehrere Domains: facebook.com, connect.facebook.net und fbcdn.net (das CDN von Facebook für Login-Assets). Google Sign-In funktioniert, weil googleapis.com und gstatic.com bereits im Walled Garden enthalten sind. Aktualisieren Sie den Parameter HS_UAMDOMAINS in /etc/chilli/defaults, um '.facebook.com,.connect.facebook.net,.fbcdn.net' hinzuzufügen. Laden Sie den chilli-Daemon mit '/etc/init.d/chilli restart' neu und testen Sie erneut. Um zukünftige Walled Garden-Probleme systematisch zu diagnostizieren, verbinden Sie ein Testgerät mit der Gäste-SSID und verwenden Sie die Browser-Entwicklertools (Registerkarte Netzwerk), um festzustellen, welche Anfragen vor der Authentifizierung Verbindungsfehler verursachen.

Kommentar des Prüfers: Moderne Social-Login-Flüsse laden Assets von mehreren CDN- und API-Domains. Das Facebook-SDK allein verweist auf mindestens drei verschiedene Domains. Ein systematischer Ansatz zur Walled Garden-Fehlersuche – unter Verwendung von Browser-Entwicklertools zur Identifizierung blockierter Pre-Auth-Anfragen – ist weitaus zuverlässiger als das Erraten von Domain-Listen. Vor dem Go-Live an allen 50 Standorten sollte der Techniker jede konfigurierte Authentifizierungsmeth (Facebook, Google, E-Mail, SMS) testen und überprüfen, ob jede einzelne erfolgreich abgeschlossen wird.

Übungsfragen

Q1. Sie haben OpenWrt mit CoovaChilli in einem Premier Inn-Hotel bereitgestellt. Gäste berichten, dass ihre iPhones sie beim Verbinden mit dem Gäste-WiFi nicht automatisch zur Anmeldung auffordern. Sie müssen Safari manuell öffnen und eine HTTP-Seite aufrufen, um das Portal auszulösen. Welche Konfigurationsänderung verursacht dies und wie beheben Sie das Problem?

Hinweis: Überlegen Sie, wie iOS feststellt, ob ein Netzwerk nach dem Verbinden vollen Internetzugriff hat.

Musterlösung anzeigen

Der Techniker hat die Captive Portal-Erkennungsdomain von Apple (captive.apple.com) über HS_UAMDOMAINS in den CoovaChilli Walled Garden aufgenommen. Wenn sich ein iPhone verbindet, sendet iOS eine Abfrage an captive.apple.com. Da sich diese Domain im Walled Garden befindet, ist die Abfrage vor der Authentifizierung erfolgreich, und iOS geht davon aus, dass ein vollständiger Internetzugriff besteht – was das Pop-up des Captive Network Assistant unterdrückt. Um dies zu beheben, entfernen Sie captive.apple.com aus HS_UAMDOMAINS und starten Sie den chilli-Daemon neu. iOS-Geräte erhalten dann eine fehlgeschlagene Antwort auf die Abfrage, erkennen das Captive Portal korrekt und zeigen die Anmeldeaufforderung automatisch an.

Q2. Ein Betreiber von Coworking-Spaces möchte IoT-Smart-Thermostate in seinen Objekten bereitstellen. Er strahlt bereits eine 'Cowork_Guest'-SSID (CoovaChilli) und eine 'Cowork_Staff'-SSID (802.1X) aus. Die Thermostate unterstützen kein WPA2-Enterprise. Wie binden Sie diese sicher ein, ohne eine dritte SSID hinzuzufügen?

Hinweis: IoT-Geräte unterstützen in der Regel nur WPA2-PSK. Überlegen Sie, welche bestehende SSID erweitert werden kann, um gerätespezifische Passphrasen zu unterstützen.

Musterlösung anzeigen

Konfigurieren Sie PPSK auf der 'Cowork_Staff'-SSID, indem Sie wpa_psk_radius=2 in der hostapd-Konfiguration aktivieren. Registrieren Sie die MAC-Adresse jedes Thermostats im Purple RADIUS-Server mit einer eindeutigen Passphrase und VLAN 40 (IoT-VLAN) als Tunnel-Private-Group-ID. Wenn sich ein Thermostat verbindet, fragt hostapd den RADIUS-Server mit der Geräte-MAC ab, erhält den eindeutigen PSK sowie die VLAN-Zuweisung und platziert das Thermostat im VLAN 40 – vollständig isoliert vom Mitarbeiter-Datenverkehr im VLAN 10. Dieser Ansatz vermeidet eine dritte SSID, schont die HF-Kapazität und erzwingt den Zugriff mit den geringsten Rechten für IoT-Geräte, ohne dass eine 802.1X-Zertifikatsinfrastruktur erforderlich ist.

Q3. Nach der Bereitstellung von OpenWrt mit CoovaChilli an einem Einzelhandelsstandort zeigt das Purple Analytics-Dashboard keine aktiven Sitzungen und keine Bandbreitendaten an, obwohl sich Gäste erfolgreich verbinden und im Internet surfen können. Was ist die wahrscheinlichste Ursache und welches sind die zwei Schritte zur Diagnose?

Hinweis: Authentifizierung (Port 1812) und Accounting (Port 1813) sind separate RADIUS-Funktionen.

Musterlösung anzeigen

Die RADIUS-Accounting-Konfiguration fehlt oder ist blockiert. Schritt 1: Überprüfen Sie die CoovaChilli-Konfiguration. Stellen Sie sicher, dass HS_RADIUS und HS_RADIUS2 in /etc/chilli/defaults korrekt eingestellt sind, und bestätigen Sie, dass der radiusacctport auf 1813 konfiguriert ist. Wenn HS_RADIUS2 nicht konfiguriert ist, ist kein Accounting-Server definiert. Schritt 2: Überprüfen Sie die Firewall-Regeln. Bestätigen Sie, dass ausgehender UDP-Port 1813-Datenverkehr vom OpenWrt-Router zu den IP-Adressen des Purple RADIUS-Servers von der Edge-Firewall des Standorts zugelassen wird. Verwenden Sie 'tcpdump -i eth0 udp port 1813' auf dem OpenWrt-Gerät, um zu prüfen, ob Accounting-Pakete gesendet werden. Wenn Pakete in tcpdump angezeigt werden, das Dashboard jedoch leer bleibt, blockiert eine Firewall den Datenverkehr zwischen dem Router und den Cloud-RADIUS-Servern von Purple.

Q4. Eine OpenWrt-Bereitstellung in einem Stadion verwendet die dynamische VLAN-Zuweisung über RADIUS, um Fan-WiFi (VLAN 30), Medien (VLAN 40) und Betrieb (VLAN 50) zu segmentieren. Nach dem Upgrade der Access Points auf neue Hardware mit OpenWrt 19.07 und ath10k-Treibern funktioniert die VLAN-Zuweisung nicht mehr. Authentifizierte Benutzer landen alle im Standard-VLAN, unabhängig von den RADIUS-Attributen. Was ist die bekannte Ursache?

Hinweis: Berücksichtigen Sie die Unterstützung auf Treiberebene für den AP/VLAN-Modus in ath10k.

Musterlösung anzeigen

Dies ist eine bekannte Regression in der ath10k-ct-Firmware (Candela Technologies), die in OpenWrt 19.07 enthalten ist. Der ath10k-ct-Treiber in diesem Release weist einen Fehler auf, der den AP/VLAN-Modus beschädigt und verhindert, dass die dynamische VLAN-Zuweisung funktioniert. Die Lösung besteht darin, auf OpenWrt 21.02 oder neuer zu aktualisieren, wo der ath10k-ct-Treiber aktualisiert wurde, um die AP/VLAN-Funktionalität wiederherzustellen. Alternativ können Sie die ath10k-ct-Firmware auf dem 19.07-Build durch die Standard-ath10k-Firmware (Nicht-CT-Variante) ersetzen. Dieses Problem betrifft keine ath9k-basierte Hardware, die den AP/VLAN-Modus in allen OpenWrt-Versionen korrekt verarbeitet.

Weiterlesen in dieser Reihe

Cisco WLC und Catalyst Integration mit Purple WiFi: Schritt-für-Schritt-Anleitung für den Gastzugang

Diese massgebliche Anleitung beschreibt die schrittweise Integration von Cisco Catalyst 9800 WLCs mit Purple WiFi. Sie deckt die externe Web-Authentifizierung für Gäste-Captive Portals, 802.1X EAP-TLS für sicheren Mitarbeiterzugang und Cisco iPSK für die dynamische VLAN-Segmentierung in Mandanten-Umgebungen ab.

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.