OpenWrt und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

[0:00 - 1:00] Einführung & Kontext Willkommen beim Purple Technical Briefing. Ich bin Ihr Moderator, und in den nächsten zehn Minuten werden wir die Integration der maßgeschneiderten OpenWrt-Firmware mit Purple WiFi analysieren. Wenn Sie als IT-Manager, Netzwerkarchitekt oder CTO maßgeschneiderte Firmware in der Hotellerie, im Einzelhandel oder im öffentlichen Sektor bereitstellen, ist dieses Briefing genau das Richtige für Sie. Wir verzichten auf akademische Theorie und liefern Ihnen die exakte Anleitung für die Konfiguration von CoovaChilli, die Absicherung von Mitarbeiternetzwerken mit 802.1X und die Segmentierung von Multi-Tenant-Umgebungen mithilfe von Private Pre-Shared Keys. Warum ist das wichtig? Weil die Implementierung von maßgeschneiderter Firmware wie OpenWrt Ihnen unglaubliche Flexibilität und Hardwareunabhängigkeit bietet. Aber ohne eine strukturierte, identitätsbasierte Zugriffskontrollschicht wird diese Flexibilität zu einem Sicherheitsrisiko. Sie müssen First-Party-Daten sicher erfassen, die GDPR-Konformität durchsetzen und Ihren Datenverkehr zuverlässig segmentieren. Lassen Sie uns direkt in die technischen Details einsteigen. [1:00 - 6:00] Technische Details Der Kern der OpenWrt-Integration basiert auf CoovaChilli. CoovaChilli ist der Open-Source-Access-Controller, der den nicht authentifizierten Client-Datenverkehr abfängt und an das Purple Captive Portal weiterleitet. Wenn sich ein Gast mit Ihrer offenen SSID verbindet, fungiert CoovaChilli als Gatekeeper. Es weist eine IP-Adresse über seinen eigenen internen DHCP-Server zu, der auf der tun0-Schnittstelle läuft, und blockiert den gesamten Datenverkehr mit Ausnahme dessen, was Sie explizit im Walled Garden erlauben. Wenn der Gast versucht zu surfen, fängt CoovaChilli die HTTP-Anfrage ab und leitet sie an die Purple Splash Page weiter. An dieser Stelle ist die Konfiguration des Walled Garden entscheidend. In Ihrer chilli.conf-Datei müssen Sie den Parameter HS_UAMDOMAINS definieren. Dies ist eine durch Kommata getrennte Liste von Domains, die Gäste erreichen können, bevor sie sich autorisieren. Sie müssen splash.purple.ai, api.purple.ai und die verschiedenen CDN-Domains, die wir zur Bereitstellung der Portal-Inhalte nutzen, aufnehmen. Wenn Sie eine Domain vergessen, wird das Portal nicht geladen oder die Social-Login-Buttons funktionieren nicht. So einfach ist das. Sobald sich der Gast im Purple Portal autorisiert, sendet der Cloud-RADIUS-Server von Purple eine Access-Accept-Nachricht an CoovaChilli auf UDP-Port 1812 zurück. CoovaChilli autorisiert dann die MAC-Adresse, öffnet die Firewall-Regeln für diese Sitzung und beginnt mit dem Senden von Accounting-Daten auf UDP-Port 1813. Das Accounting ist nicht optional. So erfasst Purple die Sitzungsdauer und den Datenverbrauch für Ihr Analytics-Dashboard. Lassen Sie uns nun über das Mitarbeiter-WiFi sprechen. Für Mitarbeiter verwenden Sie nicht CoovaChilli. Für Mitarbeiternetzwerke nutzen Sie hostapd mit WPA2-Enterprise oder WPA3-Enterprise. Dies ist die standardmäßige 802.1X-Authentifizierung. Der Access Point fungiert als Authentifikator und leitet EAP-Nachrichten an Ihren RADIUS-Server weiter. Für Unternehmensgeräte sollten Sie EAP-TLS bereitstellen, das digitale Zertifikate anstelle von Passwörtern verwendet. Dadurch wird der Diebstahl von Anmeldedaten vollständig eliminiert. Sie konfigurieren hostapd.conf so, dass sie auf Ihren RADIUS-Server verweist, und der RADIUS-Server bestimmt die VLAN-Zuweisung für diesen spezifischen Benutzer. Dies bringt uns zu einer der leistungsstärksten Funktionen in modernen OpenWrt-Bereitstellungen: Private Pre-Shared Keys oder PPSK. In einer Multi-Tenant-Umgebung - wie einer Build-to-Rent-Immobilie oder einem Coworking Space - möchten Sie nicht, dass fünfzig verschiedene SSIDs gesendet werden. Das ruiniert Ihre Airtime-Effizienz. Stattdessen strahlen Sie eine einzige SSID aus. Wenn sich ein Gerät verbindet, sendet hostapd die MAC-Adresse an den RADIUS-Server. Der RADIUS-Server antwortet mit einer bestimmten Passphrase und einer bestimmten VLAN-ID für dieses Gerät, wobei er das Tunnel-Password-Attribut verwendet. Das bedeutet, dass der Mitarbeiter aus Geschäft A im VLAN 10 landet, während der Event-Teilnehmer in der Haupthalle im VLAN 30 landet - und alle verbinden sich mit genau derselben SSID. Es ist elegant, skalierbar und setzt das Prinzip der geringsten Rechte direkt am Edge durch. [6:00 - 8:00] Empfehlungen zur Implementierung & Fallstricke Lassen Sie uns über die Implementierung sprechen. Bei der Bereitstellung von OpenWrt mit Purple ist Ihr erster Schritt immer das Abrufen Ihrer RADIUS-Zugangsdaten aus dem Purple-Portal. Sie benötigen die primäre und sekundäre RADIUS-IP-Adresse, das Shared Secret und die Portal-URL. In Ihrer OpenWrt-Konfiguration definieren Sie Ihre Gast-Netzwerkschnittstelle - typischerweise eth1 oder wlan0 - und binden CoovaChilli an diese. Stellen Sie sicher, dass das HS_RADSECRET in Ihrer chilli.conf exakt mit dem im Purple-Portal übereinstimmt. Ein einziger falscher Buchstabe führt zu stillen Authentifizierungsfehlern. Der größte Fallstrick, den wir sehen, ist die DNS-Auflösung vor der Authentifizierung. CoovaChilli fängt DNS-Anfragen ab. Wenn Ihre Upstream-Firewall den OpenWrt-Router daran hindert, externes DNS aufzulösen, schlägt die Weiterleitung zum Captive Portal fehl. Stellen Sie sicher, dass Ihr OpenWrt-Router uneingeschränkten DNS-Zugriff auf öffentliche Resolver wie Google oder OpenDNS hat. Ein weiteres häufiges Problem sind die in iOS und Android integrierten Mechanismen zur Erkennung von Captive Portals. Apple-Geräte greifen auf captive.apple.com zu, um die Internetverbindung zu prüfen. Wenn Sie captive.apple.com in Ihrem Walled Garden auf die Whitelist setzen, glaubt das Gerät, es hätte Internetzugriff, und der Assistent für Captive-Netzwerke wird nicht geöffnet. Wenn Sie das automatische Pop-up wünschen, halten Sie die Domains von Apple aus dem Walled Garden heraus. [8:00 - 9:00] Schnelle Fragerunde Lassen Sie uns eine schnelle Fragerunde durchführen. Frage eins: Kann ich CoovaChilli und hostapd 802.1X auf demselben OpenWrt-Access-Point ausführen? Ja. Sie binden CoovaChilli an Ihre Gast-SSID-Schnittstelle und konfigurieren hostapd mit 802.1X auf Ihrer Mitarbeiter-SSID-Schnittstelle. Sie arbeiten unabhängig voneinander. Frage zwei: Unterstützt Purple die dynamische VLAN-Zuweisung mit OpenWrt? Ja. Die RADIUS-Server von Purple können Standard-RADIUS-Attribute zurückgeben, einschließlich Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID, wodurch OpenWrt angewiesen wird, den authentifizierten Benutzer in ein bestimmtes VLAN zu verschieben.Frage drei: Was passiert, wenn der OpenWrt-Router die Verbindung zum Purple RADIUS-Server verliert? CoovaChilli kann neue Sitzungen nicht authentifizieren. Bestehende autorisierte Sitzungen bleiben aktiv, bis ihr Sitzungs-Timeout abläuft. Konfigurieren Sie immer den sekundären Purple RADIUS-Server, um eine hohe Verfügbarkeit zu gewährleisten. [9:00 - 10:00] Zusammenfassung & nächste Schritte Zusammenfassend lässt sich sagen: OpenWrt bietet eine robuste, hardwareunabhängige Plattform für Enterprise WiFi. Durch die Integration von CoovaChilli für den Gastzugang und hostapd für sichere Mitarbeiter und mandantenfähige PPSK bauen Sie ein identitätsbasiertes Netzwerk auf. Purple abstrahiert die Komplexität der RADIUS-Infrastruktur und bietet ein cloudverwaltetes Portal, das First-Party-Daten erfasst und die Compliance sicherstellt. Ihr nächster Schritt besteht darin, Ihre aktuellen benutzerdefinierten Firmware-Bereitstellungen zu überprüfen. Stellen Sie sicher, dass Ihre Walled Gardens vollständig konfiguriert sind, überprüfen Sie Ihre RADIUS-Accounting-Intervalle und beginnen Sie mit der Planung Ihrer Migration von gemeinsam genutzten PSKs zur dynamischen PPSK-Segmentierung. Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben. Um mehr darüber zu erfahren, wie Purple Ihr Gast-WiFi sichern und monetarisieren kann, besuchen Sie purple.ai. Bis zum nächsten Mal.