Zum Hauptinhalt springen
Deutsch

Schritt-für-Schritt-Anleitung: Konfiguration von Ruijie Wireless-Controllern für Guest WiFi Captive Portals

Diese Anleitung bietet eine vollständige technische Anleitung zur Konfiguration von Ruijie Wireless-Controllern und Gateways zur Bereitstellung von Guest WiFi Captive Portals der Enterprise-Klasse. Sie umfasst VLAN-Segmentierung, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfiguration und die nahtlose Integration in die Identity-Based Networks-Plattform von Purple, um First-Party-Daten zu erfassen und messbaren Geschäftswert in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor zu generieren.

📖 8 Min. Lesezeit📝 1,834 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zur technischen Briefing-Reihe von Purple. Heute behandeln wir eines der am häufigsten gesuchten Themen im Bereich Enterprise-Wireless: die Konfiguration von Ruijie Wireless Controllern für sichere Captive Portale für Gast-WiFi. Ich bin Ihr Gastgeber, und dies ist ein zehnminütiges Briefing für IT-Manager, Netzwerkarchitekten und Standortleiter, die diese Einrichtung auf Anhieb fehlerfrei umsetzen müssen. Beginnen wir mit dem Kontext. Wenn Sie die IT für ein Hotel, eine Einzelhandelskette, ein Konferenzzentrum oder einen großen öffentlichen Veranstaltungsort verwalten, ist Gast-WiFi nicht mehr nur eine Annehmlichkeit. Es ist eine grundlegende betriebliche Voraussetzung. Gäste erwarten es. Regulierungsbehörden verlangen einen verantwortungsvollen Umgang mit ihren Daten. Und Ihr Marketing-Team benötigt die generierten First-Party-Daten. Die Herausforderung besteht darin, dies über eine verteilte Infrastruktur hinweg sicher und skalierbar bereitzustellen, ohne Compliance-Probleme zu verursachen. Ruijie Networks ist einer der weltweit größten Anbieter von Enterprise-Netzwerken mit einer bedeutenden installierten Basis in den Bereichen Hotellerie, Einzelhandel und im öffentlichen Sektor. Die Wireless Controller der RG-WS-Serie und die Gateways der RG-EG-Serie sind leistungsstarke Plattformen für Enterprise-Gast-WiFi, aber die Konfiguration des Captive Portals erfordert eine präzise Umsetzung. Macht man hier Fehler, führt dies entweder zu einer Sicherheitslücke oder zu einem Portal, das schlichtweg nicht funktioniert. Kommen wir nun zur technischen Architektur. Das absolute Fundament jedes sicheren Gastnetzwerks ist die Isolation des Datenverkehrs. Gastgeräte dürfen sich nicht im selben Netzwerksegment befinden wie Ihre Zahlungsterminals, die Laptops Ihrer Mitarbeiter oder Ihre Back-Office-Server. Der Mechanismus hierfür ist die VLAN-Segmentierung. In einer Ruijie-Umgebung erstellen Sie ein dediziertes Gast-VLAN auf Ihrem Core-Switch, weisen ihm ein separates IP-Subnetz zu und leiten es per Trunk zu Ihren Access Points weiter. Eine typische Bereitstellung könnte VLAN 10 für Unternehmen, VLAN 20 für Sprache, VLAN 30 für Gäste und VLAN 99 für das Management nutzen. Dies ist nicht verhandelbar. Wenn Sie diesen Schritt überspringen, haben Sie zwar komfortables WiFi, aber kein sicheres WiFi. Sobald das Netzwerk korrekt segmentiert ist, geht es an die Authentifizierung. Ein gemeinsam genutzter Pre-Shared Key entspricht nicht der Sicherheit auf Enterprise-Niveau. Er bietet keine Nachvollziehbarkeit, keine Verfolgung einzelner Sitzungen und keine Möglichkeit, den Zugriff für einen einzelnen Benutzer zu entziehen, ohne das Passwort für alle zu ändern. Stattdessen nutzen wir ein externes Captive Portal mit RADIUS-Authentifizierung. Und so funktioniert der Ablauf: Ein Gast verbindet sich mit der offenen SSID, die vom Ruijie Access Point ausgestrahlt wird. Das Ruijie-Gateway fängt seinen HTTP-Datenverkehr ab und leitet ihn an eine externe Splash-Page weiter – in diesem Fall gehostet von Purple. Der Gast sieht eine gebrandete Anmeldeseite. Er authentifiziert sich, beispielsweise per E-Mail-Registrierung, Social Login oder per Ein-Klick-Bestätigung. Die Server von Purple verarbeiten diese Authentifizierung und senden eine RADIUS-Accept-Nachricht zurück an den Ruijie-Controller. Der Controller gewährt dem Gerät daraufhin den Internetzugang. Dieser gesamte Ablauf nutzt das WISPr-Protokoll, den Standard-Framework für die externe Authentifizierung über Captive Portale im Bereich Enterprise-Wireless. Der geschäftliche Mehrwert ist hierbei erheblich. Jeder Authentifizierungsvorgang erfasst einen Nachweis über die Einwilligung. Die Plattform von Purple speichert diese Daten in einer GDPR- und CCPA-konformen Weise, baut eine First-Party-Marketingdatenbank auf und liefert Analysen an Ihr Team zurück. Harrods nutzte diesen Ansatz, um sein Treueprogramm zu bewerben, und erzielte eine 57-fache Rendite auf die Investition. c2c Rail erzielte eine 121-prozentige Rendite auf die Investition und sparte 76.000 Pfund an Betriebskosten ein. Das ist das wirtschaftliche Argument dafür, dies richtig anzugehen. Lassen Sie uns nun die spezifischen Konfigurationsschritte in der Ruijie Cloud oder der lokalen Controller-Schnittstelle durchgehen. Schritt eins: Erstellen Sie die Gäste-SSID. Melden Sie sich bei der Ruijie Cloud oder Ihrem lokalen Controller an. Navigieren Sie zu „Device Config“, wählen Sie „Wi-Fi“ unter „Wireless“ und erstellen Sie eine neue SSID. Benennen Sie sie eindeutig, z. B. „Free Guest WiFi“. Stellen Sie den Sicherheitsmodus auf „Open“ und weisen Sie sie Ihrem Gäste-VLAN zu. Schritt zwei: Definieren Sie die Richtlinie für das Captive Portal. Navigieren Sie zu „Auth and Account“ und wählen Sie dann „Captive Portal“ unter „Authentication“. Erstellen Sie eine neue Richtlinie. Setzen Sie den „Policy Mode“ auf „External“. Stellen Sie das „Authentication Device“ auf Ihr Ruijie-Gateway oder Ihren Access Point ein. Wählen Sie die Gäste-SSID aus. Geben Sie im Feld „Portal Server URL“ die URL Ihrer Purple-Splash-Page ein. Tragen Sie die IP-Adressen der Purple-RADIUS-Server ein. Schritt drei: Konfigurieren Sie den Walled Garden, der bei Ruijie als „Allowlist“ bezeichnet wird. Dies ist das am häufigsten falsch konfigurierte Element bei jeder Captive Portal-Bereitstellung. Der Walled Garden definiert, welcher Datenverkehr fließen darf, bevor sich der Benutzer authentifiziert. Wenn Sie die Purple-Domains nicht explizit zulassen, wird die Splash-Page nicht geladen. Wenn Sie eine Anmeldung über Facebook oder Google anbieten, aber deren OAuth-Domains nicht zulassen, bleibt die Authentifizierung beim Social-Login-Button hängen. Fügen Sie alle erforderlichen Purple-Infrastruktur-Domains und alle Domains von Social-Media-Anbietern hinzu, die Sie unterstützen möchten. Schritt vier: RADIUS konfigurieren. Fügen Sie die primären und sekundären IP-Adressen der Purple-RADIUS-Server hinzu. Geben Sie das Shared Secret aus Ihrem Purple-Dashboard ein. Stellen Sie sicher, dass das RADIUS-Accounting auf Port 1813 aktiviert ist. Dies ermöglicht es Purple, die Sitzungsdauer und den Datenverbrauch präzise zu verfolgen, was direkt in Ihre Analyseberichte einfließt. Schritt fünf: QoS-Richtlinien anwenden. Unbeschränkter Gästezugang kann Ihre Internetverbindung überlasten. Legen Sie auf dem Ruijie-Gateway strenge Bandbreitenbegrenzungen pro Benutzer fest – typischerweise fünf bis zehn Megabit Downstream und zwei bis fünf Upstream für eine standardmäßige Bereitstellung im Gastgewerbe. Dies schützt das Nutzererlebnis für alle Gäste und verhindert, dass ein einzelnes Gerät das Netzwerk beeinträchtigt. Lassen Sie uns nun die kritischen Implementierungsfehler betrachten. Der erste ist der Walled Garden. Ich kann nicht oft genug betonen, wie oft dies die Hauptursache für eine fehlgeschlagene Bereitstellung ist. Testen Sie Ihr Portal von einem sauberen Gerät ohne gespeicherte Anmeldedaten. Wenn die Seite nicht geladen wird, überprüfen Sie zuerst Ihre Allowlist. Die zweite Falle ist die Portal-Escape-Einstellung. Diese Ruijie-Funktion gibt den Benutzerverkehr automatisch frei, wenn der Access Point und der Portal-Server nicht erreichbar sind. Das klingt zwar hilfreich, bedeutet aber, dass nicht authentifizierte Benutzer während eines Ausfalls Internetzugang erhalten. In einer Unternehmensumgebung, in der die Einholung der Einwilligung gesetzlich vorgeschrieben ist, sollten Sie diese Option deaktivieren, um jederzeit eine strikte Authentifizierung zu erzwingen. Die dritte Falle sind die Firmware-Versionen. Einige Captive Portal-Funktionen – insbesondere im Zusammenhang mit Bandbreitenkontrollen und dynamischer VLAN-Zuweisung – erfordern bestimmte Firmware-Versionen auf dem Ruijie-Gateway. Prüfen Sie vor der Bereitstellung die Ruijie-Release-Notes und stellen Sie sicher, dass auf Ihren Geräten eine unterstützte Firmware-Version ausgeführt wird. Und nun zu den Schnellfeuerfragen. Sollte ich das Captive Portal auf dem Access Point oder dem Gateway verwalten? Verwalten Sie es bei einer Ruijie-Unternehmensbereitstellung über das Gateway. Die Gateways der RG-EG-Serie sind für die Verwaltung der externen Portal-Interzeption und die Durchsetzung von QoS-Richtlinien ausgelegt. Access Points konzentrieren sich auf die HF-Leistung und den SSID-Broadcast. Kann ich mehrere Captive Portals auf verschiedenen SSIDs betreiben? Ja. Ruijie unterstützt mehrere Captive Portal-Richtlinien, die verschiedenen SSIDs zugewiesen sind. Sie können beispielsweise ein Standard-Gästeportal auf einer SSID und ein kostenpflichtiges Premium-Portal auf einer anderen einrichten, jeweils mit unterschiedlichen Bandbreitenbegrenzungen und Authentifizierungsmethoden. Wie verwalte ich eine Bereitstellung an mehreren Standorten? Verwenden Sie Ruijie Cloud, um die Konfiguration zentral zu verwalten. Sie können Portal-Richtlinien gleichzeitig auf alle Standorte übertragen. Dies gewährleistet Konsistenz und verhindert Konfigurationsabweichungen zwischen den einzelnen Standorten. Zusammenfassend die wichtigsten Erkenntnisse: Segmentieren Sie Ihren Datenverkehr mit VLANs, bevor Sie etwas anderes tun. Verwenden Sie die externe RADIUS-Authentifizierung, um konforme First-Party-Daten zu erfassen. Konfigurieren Sie Ihren Walled Garden sorgfältig und testen Sie ihn mit einem sauberen Gerät. Treffen Sie eine bewusste Entscheidung bezüglich Portal Escape auf der Grundlage Ihrer Compliance-Anforderungen. Wenden Sie QoS an, um das Benutzererlebnis zu schützen. Und integrieren Sie Ihre Ruijie-Infrastruktur mit den identitätsbasierten Netzwerken von Purple, um eine einfache Verbindung in ein sicheres, datengesteuertes und umsatzgenerierendes Asset zu verwandeln. Purple ist in mehr als achtzigtausend Live-Veranstaltungsorten im Einsatz, hat im Jahr 2024 vierhundertvierzig Millionen Anmeldungen verarbeitet und verfügt über die Zertifizierungen ISO 27001, GDPR, CCPA und Cyber Essentials. Wir sind hardwareunabhängig, was bedeutet, dass Ihre Ruijie-Investition vollständig mit unserer Cloud-Overlay-Plattform kompatibel ist. Vielen Dank fürs Zuhören. Wenn Sie erfahren möchten, wie Purple sich in Ihre Ruijie-Infrastruktur integrieren lässt, besuchen Sie purple dot ai slash guest dash wifi. Stellen Sie sicher bereit, und wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

Die Bereitstellung von Gäste-WiFi in einem verteilten Unternehmen erfordert mehr als eine offene SSID. Für IT-Manager und Netzwerkarchitekten besteht die Herausforderung darin, einen nahtlosen Zugang mit strenger Sicherheit, GDPR-Konformität und Anforderungen zur Datenerfassung in Einklang zu bringen. Diese Anleitung beschreibt die genauen Konfigurationsschritte für die Bereitstellung eines sicheren, skalierbaren Captive Portals mit Ruijie Wireless-Controllern und Gateways – und zeigt, wie die Integration dieser Infrastruktur mit der Guest WiFi -Plattform von Purple eine einfache drahtlose Verbindung in ein konformes, umsatzgenerierendes Asset verwandelt.

Wir behandeln die technischen Voraussetzungen, Strategien zur VLAN-Segmentierung, externe RADIUS-Authentifizierung über das WISPr-Protokoll, Walled-Garden-Konfiguration und die spezifischen QoS-Einstellungen, die für eine produktionsreife Bereitstellung erforderlich sind. Unabhängig davon, ob Sie ein Hotel mit 200 Zimmern, eine Einzelhandelskette mit 50 Standorten oder ein Stadion mit 40.000 Besuchern verwalten, bietet diese Anleitung die maßgebliche Vorlage für eine sichere Ruijie Captive Portal-Einrichtung. Purple ist an über 80.000 Live-Standorten im Einsatz und hat im Jahr 2024 440 Millionen Logins verarbeitet (Purple-interne Daten). Die hier beschriebenen Integrationsmuster haben sich daher in großem Maßstab bewährt.

architecture_overview.png

Technische Architektur und Voraussetzungen

Bevor Sie Änderungen an Ihrem Ruijie-Controller vornehmen, müssen Sie die richtige Netzwerkarchitektur einrichten. Ein sicheres Gästenetzwerk erfordert eine vollständige Isolierung vom Unternehmensdatenverkehr auf Layer 2 – der Switch-Ebene.

Netzwerksegmentierung

Die Grundlage für sicheres Gäste-WiFi ist die VLAN-Isolierung. Sie müssen ein dediziertes Gäste-VLAN auf Ihrem Ruijie-Gateway oder Core-Switch einrichten. Dadurch wird sichergestellt, dass der Gästedatenverkehr niemals mit internen Systemen, Zahlungsterminals oder Mitarbeitergeräten in Berührung kommt. Ein Standard-Enterprise-VLAN-Schema für eine Ruijie-Bereitstellung sieht wie folgt aus:

VLAN ID Zweck Hinweise
10 Corporate Mitarbeitergeräte, interne Server
20 Voice VoIP-Telefone
30 Guest Captive Portal, nur Internet
40 IoT Drucker, Smart-TVs, Sensoren
99 Management Controller, Switch-Management

Weitere Informationen darüber, warum verbraucherorientierte Ansätze hier scheitern, finden Sie unter Why Consumer WiFi Gear Doesn't Belong on Your Guest Network .

Erforderliche Komponenten

Um diese Bereitstellung abzuschließen, benötigen Sie:

  • Einen Ruijie-Cloud-Account oder einen lokalen Ruijie RG-WS Series Wireless Controller (z. B. RG-WS6008 oder RG-WS7110).
  • Ein Ruijie RG-EG Series Gateway – erforderlich für die externe Portal-Authentifizierung über WISPr.
  • Ruijie RG-AP Series Access Points (z. B. RG-AP820-I, RG-AP850-AR).
  • Eine Purple Connect-, Capture- oder Engage-Lizenz.
  • Ausgehender UDP-Zugriff auf den Ports 1812 (RADIUS-Authentifizierung) und 1813 (RADIUS-Accounting) vom Gateway zu den Servern von Purple.

Übersicht über das Authentifizierungsprotokoll

Ruijie unterstützt verschiedene Authentifizierungsmethoden. Bei Enterprise-Bereitstellungen sollte die externe RADIUS-Authentifizierung verwendet werden. Dieser Ansatz nutzt das WISPr-Protokoll (Wireless Internet Service Provider roaming), um nicht authentifizierte Benutzer sicher auf die Splash-Page von Purple umzuleiten, ihre Anmeldedaten zu verarbeiten und eine RADIUS-Accept- oder Reject-Meldung an den Ruijie-Controller zurückzusenden.

comparison_chart.png

Die obige Tabelle fasst die fünf auf Ruijie-Plattformen verfügbaren Authentifizierungsmethoden zusammen. Die Registrierung per E-Mail und Social Login sind die am häufigsten gewählten Optionen für das Gastgewerbe und den Einzelhandel, da sie strukturierte, GDPR-konforme First-Party-Daten erfassen. Voucher-Codes eignen sich für Konferenzräume und kostenpflichtige Zugangsstufen. RADIUS mit 802.1X ist für Mitarbeiternetzwerke reserviert, bei denen eine verzeichnisgestützte Identität erforderlich ist.

Schritt-für-Schritt-Implementierungsanleitung

Führen Sie diese Schritte in der Ruijie Cloud oder der lokalen Controller-Benutzeroberfläche aus. Die unten angegebenen UI-Pfade beziehen sich auf die neue Ruijie Cloud-Benutzeroberfläche (nach 2024) und die Ruijie JaCS-Plattform.

Schritt 1: SSID für Gäste konfigurieren

Richten Sie das drahtlose Broadcast-Netzwerk ein.

  1. Melden Sie sich in der Ruijie Cloud oder auf der Web-Benutzeroberfläche des lokalen Controllers an.
  2. Navigieren Sie zu Device Config und wählen Sie Wi-Fi im Bereich Wireless aus.
  3. Klicken Sie auf +, um eine neue SSID zu erstellen, oder bearbeiten Sie eine bestehende.
  4. Legen Sie den SSID-Namen fest (z. B. "Free Guest WiFi").
  5. Stellen Sie den Sicherheitsmodus auf Open – kein Pre-Shared Key.
  6. Weisen Sie die SSID Ihrem dedizierten Gäste-VLAN zu (z. B. VLAN 30).
  7. Speichern Sie die SSID-Konfiguration.

Schritt 2: Captive Portal-Richtlinie definieren

Weisen Sie den Controller an, den Datenverkehr der Gäste abzufangen und zu Purple umzuleiten.

  1. Navigieren Sie zu Auth & Account und wählen Sie Captive Portal unter Authentication aus.
  2. Erstellen Sie eine neue Richtlinie. Legen Sie einen aussagekräftigen Richtliniennamen fest (z. B. "Purple-Guest-Portal").
  3. Stellen Sie den Richtlinienmodus auf External ein.
  4. Legen Sie das Authentifizierungsgerät auf Ihr Ruijie-Gateway (RG-EG-Serie) oder Ihren Access Point fest.
  5. Wählen Sie die in Schritt 1 erstellte Gäste-SSID aus.
  6. Geben Sie im Feld Portal Server URL Ihre spezifische Purple Splash-Page-URL ein (verfügbar in Ihrem Purple-Dashboard unter Hardware-Konfiguration).
  7. Geben Sie die IP-Adressen der Purple RADIUS-Server in die dafür vorgesehenen Felder ein.
  8. Stellen Sie die Dauer für Seamless Online so ein, dass sie Ihrer Richtlinie für das Sitzungs-Timeout entspricht (z. B. 24 Stunden für das Gastgewerbe, eine Stunde für den Einzelhandel).
  9. Legen Sie das Verhalten für den Portal Escape fest – siehe den Abschnitt "Best Practices" unten.

Schritt 3: Walled Garden (Allowlist) konfigurieren

A captive portal intercepts all traffic until the user authenticates. Certain traffic must pass through pre-authentication to allow the login page to load and process social logins. This is the most frequently misconfigured element in any captive portal deployment.

  1. Navigate to Auth & Account and select Allowlist.
  2. Add all required Purple infrastructure domains. Your Purple dashboard provides the exact list for your region.
  3. If you offer social login, add the OAuth domains for each provider:
    • For Microsoft Entra ID: *.microsoft.com, *.microsoftonline.com, login.live.com
    • For Google Workspace: *.google.com, accounts.google.com
    • For Okta: your specific Okta tenant domain
  4. Add any payment processor domains if you offer paid WiFi tiers.
  5. Save and apply the allowlist.

Step 4: Configure RADIUS authentication

Configure the secure communication channel between Ruijie and Purple.

  1. Navigate to the RADIUS server settings in your Ruijie controller or gateway.
  2. Add the primary Purple RADIUS server IP address and port 1812 for authentication.
  3. Add the secondary Purple RADIUS server IP address as a failover.
  4. Enter the Shared Secret from your Purple dashboard. This must match exactly.
  5. Add the accounting server on port 1813 and enable RADIUS accounting. This tracks session duration and data usage, feeding directly into Purple's WiFi Analytics reports.
  6. Set the NAS Identifier to a meaningful string (e.g., your venue name) to distinguish traffic in Purple's analytics.

Step 5: Apply QoS policies

Unrestricted guest access can saturate your internet link during peak periods.

  1. Navigate to the QoS or bandwidth management section of your Ruijie gateway.
  2. Set per-user download limits (e.g., 10 Mbps for hotel guests, 5 Mbps for retail shoppers).
  3. Set per-user upload limits (e.g., 2-5 Mbps).
  4. Disable Client Escape to ensure unauthenticated users cannot access the network if the portal server is temporarily unreachable.
  5. Save and push the configuration to all relevant devices.

Step 6: Test the deployment

Always test from a clean device with no cached credentials.

  1. Connect a mobile device to the guest SSID.
  2. Open a browser and navigate to a non-HTTPS URL (e.g., http://example.com). The portal should redirect.
  3. Verify the Purple splash page loads correctly.
  4. Complete the authentication flow.
  5. Confirm internet access is granted post-authentication.
  6. Check the Purple dashboard to confirm the session appears in your analytics.

Best practices for enterprise deployment

Security and compliance

Verlassen Sie sich bei Gastzugängen niemals auf einen gemeinsamen PSK. Gemeinsame Passwörter bieten keine Nachvollziehbarkeit und können nicht für einzelne Benutzer widerrufen werden. Durch die Verwendung des Captive Portals von Purple mit individueller Authentifizierung setzen Sie die ausdrückliche Einwilligung zur Datenverarbeitung durch, was die Anforderungen von GDPR Artikel 7 erfüllt. Purple besitzt ISO 27001-, GDPR-, CCPA- und Cyber Essentials-Zertifizierungen, wodurch sichergestellt ist, dass der Erfassungsmechanismus selbst auditierbar ist.

Für einen tieferen Einblick in die Sicherheitsarchitektur lesen Sie unseren Enterprise WiFi Security: A Complete Guide for 2026 und What Is Secure WiFi: Essential Guide for Business 2026 .

Portal Escape: Eine bewusste Entscheidung

Die Portal Escape-Funktion von Ruijie leitet den Benutzer-Traffic automatisch weiter, falls der AP und der Portal-Server nicht erreichbar sein sollten. In der Hotellerie können Sie sich dafür entscheiden, diese Funktion zu aktivieren – ein Gast, der während eines kurzen Serverausfalls vom WiFi ausgeschlossen wird, sorgt für Beschwerden. Im Einzelhandel oder im Gesundheitswesen sollten Sie diese Option eher deaktivieren – ein nicht authentifizierter Zugriff stellt ein Compliance- und Sicherheitsrisiko dar. Dokumentieren Sie Ihre Entscheidung und die Gründe dafür in Ihrem Netzwerk-Runbook.

Standortübergreifende Konsistenz

Nutzen Sie Ruijie Cloud, um die Konfiguration zentral über alle Standorte hinweg zu verwalten. Veröffentlichen Sie Portal-Richtlinien gleichzeitig, um Abweichungen bei der Konfiguration einzelner Standorte zu vermeiden – die häufigste Ursache für inkonsistente Gasterlebnisse in verteilten Unternehmen. Das Cloud-Overlay von Purple arbeitet nach demselben Prinzip: Ein Dashboard für alle Standorte.

Firmware-Management

Einige Funktionen des Captive Portals von Ruijie – insbesondere Bandbreitenbeschränkungen und dynamische VLAN-Zuweisung – erfordern spezifische Firmware-Versionen auf dem Gateway. In den Release Notes von Ruijie sind diese Abhängigkeiten dokumentiert. Stellen Sie sicher, dass auf Ihren RG-EG-Gateways die Firmware RGOS11.9(6)B17T1 oder höher ausgeführt wird, um die volle QoS-Unterstützung bei Cloud-verwalteten Implementierungen zu gewährleisten.

Fehlerbehebung und Risikominderung

Portalseite lädt nicht

Wenn das Captive Portal beim Verbinden eines Geräts nicht angezeigt wird, überprüfen Sie zuerst Ihre Walled-Garden-Einstellungen. Das Gerät muss DNS auflösen und die Portal-URL von Purple erreichen können, bevor die Authentifizierung stattfindet. Stellen Sie sicher, dass Ihre Ruijie-Allowlist alle erforderlichen Domains enthält und dass Ihr DNS-Server aus dem Gast-VLAN erreichbar ist.

Authentifizierungs-Timeouts

Wenn Benutzer das Portal sehen, sich aber nicht anmelden können, liegt das Problem in der Regel an der RADIUS-Konfiguration. Überprüfen Sie die IP-Adressen des RADIUS-Servers, die Ports (1812 für Authentifizierung, 1813 für Accounting) und das Shared Secret. Stellen Sie sicher, dass Ihre Firewall ausgehenden UDP-Traffic auf diesen Ports von der Management-IP des Ruijie-Gateways aus zulässt.

Social Login hängt

Wenn Benutzer auf eine Schaltfläche für Social Login klicken und nichts passiert, wird der OAuth-Redirect blockiert. Fügen Sie die erforderlichen Domains der Social-Media-Anbieter zu Ihrer Ruijie-Allowlist hinzu. Testen Sie dies, indem Sie vorübergehend den gesamten Traffic vor der Authentifizierung zulassen, um zu bestätigen, dass das Portal funktioniert, und schränken Sie die Allowlist dann schrittweise wieder ein.

Fehler bei der dynamischen VLAN-Zuweisung

Wenn Sie RADIUS verwenden, um Benutzer dynamisch VLANs zuzuweisen, stellen Sie sicher, dass die RADIUS-Antwort die korrekten VLAN-Attribute (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) enthält. Die Gateways RG-EG310GH-E und ähnliche Modelle von Ruijie unterstützen die dynamische VLAN-Zuweisung, jedoch erfordert diese Funktion eine explizite Konfiguration sowohl auf dem RADIUS-Server als auch auf dem Gateway.

ROI und geschäftlicher Nutzen

Die Implementierung eines sicheren Captive Portals verwandelt Ihr Gäste-WiFi von einem Kostenfaktor in ein strategisches Asset. Die WiFi-Analyse-Plattform von Purple, integriert in Ihre Ruijie-Infrastruktur, erfasst First-Party-Daten, baut zielgerichtete Kontaktlisten auf und liefert verwertbare Erkenntnisse über das Besucherverhalten an Ihren Standorten.

Harrods nutzte das Gäste-WiFi von Purple, um sein Treueprogramm zu bewerben, und erzielte dabei eine branchenführende Opt-in-Rate sowie einen 57-fachen ROI (Purple-Kundendaten). c2c Rail nutzte Purple, um Direktbuchungen zu fördern, erzielte eine Investitionsrendite von 121 % und sparte 76.000 £ an Betriebskosten ein (Purple-Kundendaten). Pizza Express implementierte Purple in über 470 Restaurants, um detailliertere Kundenprofile zu erstellen.

Für Betreiber im Gastgewerbe fließen die beim Login erfassten Daten – E-Mail, Demografie, Besuchshäufigkeit – direkt in CRM-Systeme und Treueprogramme ein. Im Einzelhandel identifizieren Analysen von wiederkehrenden Besuchen Ihre wertvollsten Kunden. Für Transportknotenpunkte optimieren Passagierflussdaten die Personalplanung und die Gestaltung von Gewerbeflächen.

Purple lässt sich mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet sowie Ruijie integrieren – was es zu einem hardwareunabhängigen Cloud-Overlay macht, das mit Ihrer bestehenden Infrastruktur funktioniert, anstatt diese zu ersetzen.

Ähnliche Leitfäden: Integration von Grandstream GWN Access Points mit Purple WiFi

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Zugangsnetzwerks ansehen und mit der er interagieren muss, bevor ihm der Internetzugang gewährt wird. Sie fängt den gesamten HTTP-Verkehr ab und leitet den Browser des Benutzers auf die Portal-Seite weiter.

Der Kernmechanismus zur Durchsetzung der Authentifizierung in Gast-WiFi-Netzwerken. Wird in Hotels, im Einzelhandel, in Stadien und in öffentlichen Einrichtungen verwendet, um den Zugriff zu steuern und Einwilligungen zu erfassen.

Walled Garden

Eine Zulassungsliste (Allowlist) vor der Authentifizierung, die es bestimmten Domänen und IP-Adressen ermöglicht, die Blockierung durch das Captive Portal zu umgehen. Der Datenverkehr zu diesen Zielen ist zulässig, bevor der Benutzer sich authentifiziert.

Unerlässlich, damit Geräte die Splash-Page laden, Social-Login-Anbieter erreichen und Zahlungsströme verarbeiten können, bevor der Benutzer vollständig authentifiziert ist. Eine Fehlkonfiguration an dieser Stelle ist die Hauptursache für Ausfälle des Captive Portals.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Accounting-Verwaltung für Benutzer bereitstellt, die sich mit einem Netzwerkdienst verbinden.

Das sichere Protokoll, das Ruijie-Controller für die Kommunikation mit den Servern von Purple verwenden. Authentifizierungsanfragen gehen an Port 1812 (UDP); Accounting-Datensätze gehen an Port 1813 (UDP).

WISPr

Wireless Internet Service Provider roaming. Eine Protokollspezifikation, die definiert, wie ein Captive Portal nicht authentifizierte Benutzer zu einer Anmeldeseite weiterleitet und wie der Access Controller das Authentifizierungsergebnis empfängt.

Das spezifische Protokoll-Framework, das von Ruijie und Purple verwendet wird, um die externe Captive Portal-Weiterleitung und den Authentifizierungsfluss abzuwickeln. Erforderlich für den externen Portal-Modus auf Ruijie-Gateways.

VLAN-Isolierung

Die Praxis, den Netzwerkverkehr auf Switch-Ebene in verschiedene virtuelle lokale Netzwerke (VLANs) zu trennen, wodurch verhindert wird, dass Geräte in verschiedenen VLANs direkt miteinander kommunizieren.

Unverzichtbar für Gastnetzwerke. Stellt sicher, dass Gastgeräte nicht mit Unternehmensservern, Laptops von Mitarbeitern oder Zahlungsterminals kommunizieren können, selbst wenn sie mit derselben physischen Infrastruktur verbunden sind.

Portal Escape

Eine Ruijie-Funktion, die den Benutzerverkehr automatisch freigibt, wenn der Access Point und der Portal-Server nicht mehr erreichbar sind, sodass während eines Ausfalls ein nicht authentifizierter Internetzugang ermöglicht wird.

Ein bewusster Kompromiss zwischen Verfügbarkeit und Sicherheit. Hotelbetreiber können dies aktivieren, um Gästebeschwerden bei Ausfällen zu vermeiden. Betreiber im Gesundheitswesen und im Einzelhandel deaktivieren dies in der Regel, um jederzeit eine strenge Authentifizierung durchzusetzen.

SSID

Service Set Identifier. Der öffentliche Name eines drahtlosen Netzwerks, den Geräte in ihrer Liste der verfügbaren Netzwerke anzeigen.

Der Netzwerkname, den Gäste auf ihren Geräten auswählen, was die Weiterleitung zum Captive Portal auslöst. Jede SSID in einer Ruijie-Bereitstellung ist einem bestimmten VLAN und einer Authentifizierungsrichtlinie zugeordnet.

QoS

Quality of Service. Eine Reihe von Technologien zur Verwaltung des Datenverkehrs, um Paketverluste, Latenzzeiten und Jitter zu reduzieren und eine vorhersehbare Leistung für bestimmte Arten von Datenverkehr zu gewährleisten.

Wird in Gastnetzwerken verwendet, um die Bandbreite pro Benutzer zu begrenzen. Dadurch wird verhindert, dass ein einzelnes Gerät die Internetverbindung vollständig auslastet und die Verbindung für alle anderen verbundenen Benutzer beeinträchtigt.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die sich mit einem LAN oder WLAN verbinden.

Wird für Mitarbeiternetzwerke verwendet, die eine verzeichnisbasierte Identität erfordern (z. B. über Microsoft Entra ID oder Okta). Wird normalerweise nicht für Gastnetzwerke verwendet, bei denen ein Captive Portal mit RADIUS das geeignete Verfahren ist.

Ausgearbeitete Beispiele

Ein Hotel mit 250 Zimmern nutzt Ruijie RG-AP820-I Access Points und ein RG-EG310GH-E Gateway. Es ist erforderlich, dass sich Gäste per E-Mail authentifizieren, um eine Marketing-Datenbank aufzubauen. Das Management ist besorgt darüber, dass Gäste das Portal umgehen könnten, und befürchtet eine Bandbreitensättigung zu Spitzenzeiten während Konferenzveranstaltungen.

Das IT-Team erstellt ein dediziertes Gäste-VLAN (VLAN 40) auf dem Core-Switch und leitet dieses per Trunk an das Ruijie Gateway und die APs weiter. In der Ruijie Cloud erstellen sie eine offene SSID, die dem VLAN 40 zugewiesen ist. Sie konfigurieren eine External Captive Portal-Richtlinie, die auf die URL der Purple Splash Page verweist, mit der Portal Server-URL und den RADIUS-Anmeldedaten aus dem Purple Dashboard. Entscheidend ist, dass sie den Walled Garden so konfigurieren, dass Datenverkehr nur zu den Domains von Purple zugelassen wird, und die Funktion Portal Escape auf dem Ruijie Gateway deaktivieren, um unbefugten Zugriff bei einem eventuellen Portalausfall zu verhindern. Sie wenden eine QoS-Richtlinie an, die jeden Client auf 10 Mbps Downstream und 3 Mbps Upstream begrenzt. Für Konferenzveranstaltungen erstellen sie eine separate SSID auf VLAN 50 mit einem Voucher-basierten Portal und strengeren Bandbreitenbegrenzungen von 5 Mbps pro Gerät.

Kommentar des Prüfers: Dieser Ansatz isoliert den Gästedatenverkehr auf Layer 2 korrekt, erzwingt eine externe RADIUS-Authentifizierung für eine GDPR-konforme Datenerfassung und wendet Bandbreitenkontrollen an, die dem Anwendungsfall angemessen sind. Das Deaktivieren von Portal Escape ist eine bewusste Sicherheitsentscheidung, die unauthentifizierten Zugriff bei Netzwerkstörungen verhindert. Die separate Konferenz-SSID mit Voucher-Authentifizierung ist ein praxisbewährtes Muster für Veranstaltungsorte, die sowohl Durchgangsgäste als auch Event-Teilnehmer mit unterschiedlichen Zugriffsanforderungen beherbergen.

Eine Einzelhandelskette mit 50 Standorten nutzt Ruijie WS6008-Controller. Sie implementiert Social Login (Facebook und Google Workspace) für Kunden, die auf das WiFi zugreifen, aber die Portalseite hängt sich auf, wenn Nutzer auf die Social-Login-Buttons klicken. Das Problem betrifft alle 50 Standorte gleichzeitig.

Der IT-Manager stellt fest, dass in der Allowlist-Konfiguration (Walled Garden) auf den Ruijie-Controllern die von Facebook und Google benötigten OAuth-Domains fehlen. Während die Purple Portal-URL korrekt freigegeben war, wurden die für den OAuth-Handshake erforderlichen Domains der Identity Provider durch das Abfangen des Captive Portals blockiert. Das Team fügt die erforderlichen Wildcard-Domains – speziell *.facebook.com, *.fbcdn.net, accounts.google.com und *.googleapis.com – zur Ruijie Allowlist hinzu. Sie übertragen die aktualisierte Konfiguration über die Ruijie Cloud gleichzeitig an alle 50 Standorte und beheben das Problem so im gesamten Bestand in einem einzigen Arbeitsschritt.

Kommentar des Prüfers: Eine Fehlkonfiguration des Walled Garden ist die häufigste Ursache für das Fehlschlagen von Social Logins bei Captive Portal-Bereitstellungen. Das Captive Portal muss den Pre-Authentifizierungs-Datenverkehr zu den OAuth-Domains der Identity Provider explizit zulassen, da der Weiterleitungsprozess andernfalls nicht abgeschlossen werden kann. Die Nutzung der Ruijie Cloud für die zentrale Konfigurationsverteilung ist der richtige Ansatz für ein Filialnetz mit mehreren Standorten – eine manuelle Konfiguration pro Standort bei 50 Filialen wäre fehleranfällig und zeitraubend.

Übungsfragen

Q1. Sie haben ein externes Captive Portal auf einem Ruijie RG-EG Gateway konfiguriert. Gäste verbinden sich mit der SSID, aber ihre Geräte melden 'Keine Internetverbindung' und die Portalseite wird nie geladen. Was ist der wahrscheinlichste Konfigurationsfehler und wie beheben Sie ihn?

Hinweis: Überlegen Sie, welche Netzwerkoperationen erfolgreich abgeschlossen sein müssen, bevor der Benutzer überhaupt die Anmeldeseite sehen kann.

Musterlösung anzeigen

Der Walled Garden (Allowlist) ist falsch konfiguriert. Das Ruijie-Gateway blockiert die DNS-Auflösung oder den HTTP-Verkehr, der zum Erreichen der externen Purple-Splash-Page-URL erforderlich ist. Vor der Authentifizierung muss das Gerät in der Lage sein, die Portal-Domain aufzulösen und eine HTTP-Verbindung zu ihr aufzubauen. Fügen Sie die spezifischen Purple-Domains zur Pre-Authentication-Allowlist im Bereich 'Ruijie Auth & Account' hinzu. Stellen Sie außerdem sicher, dass dem Gäste-VLAN über DHCP ein gültiger DNS-Server zugewiesen ist.

Q2. Der IT-Leiter eines Stadions möchte Ruijie APs für das Fan-WiFi bei Veranstaltungen bereitstellen. Er möchte Marketingdaten erfassen, befürchtet jedoch, dass die RADIUS-Authentifizierung zu Verzögerungen führt, wenn sich in den ersten 30 Minuten nach Einlass 10.000 Fans gleichzeitig verbinden. Wie sollte der Authentifizierungsfluss gestaltet werden, um die Datenerfassung mit der Benutzererfahrung in Einklang zu bringen?

Hinweis: Berücksichtigen Sie den Kompromiss zwischen Datenreichtum und Authentifizierungsbarrieren bei hoher Auslastung.

Musterlösung anzeigen

Sie sollten das One-Click Login von Purple für wiederkehrende Fans nutzen, die sich bereits zuvor authentifiziert haben. Dies umgeht das Ausfüllen des Formulars und reduziert die RADIUS-Last. Für neue Fans ist ein minimalistisches E-Mail-Erfassungsformular dem Social Login vorzuziehen, da letzteres zusätzliche OAuth-Roundtrips erfordert. Das Ruijie-Gateway muss so dimensioniert sein, dass es gleichzeitige RADIUS-Anfragen verarbeiten kann – für 10.000 simultane Verbindungen ist ein hochleistungsfähiges Gateway der RG-EG-Serie erforderlich. Die Aktivierung von Seamless Online mit einer Sitzungsdauer von 30 Tagen sorgt dafür, dass sich wiederkehrende Fans bei nachfolgenden Veranstaltungen automatisch verbinden. Die QoS-Grenzwerte sollten streng sein (5 Mbps pro Gerät), um zu verhindern, dass frühzeitige Besucher die Leitung auslasten, bevor die Masse eintrifft.

Q3. Während eines Sicherheitsaudits greift ein Penetration Tester auf den internen Dateiserver zu, während er mit der 'Guest WiFi'-SSID verbunden ist, die von einem Ruijie AP ausgestrahlt wird. Das Gästenetzwerk verwendet ein korrekt konfiguriertes Captive Portal. Wie beheben Sie diese kritische Sicherheitslücke?

Hinweis: Authentifizierung und Netzwerksegmentierung sind unterschiedliche Aspekte. Das eine impliziert nicht das andere.

Musterlösung anzeigen

Das Captive Portal funktioniert korrekt, aber die VLAN-Isolierung fehlt oder ist falsch konfiguriert. Die Gäste-SSID leitet authentifizierte Benutzer in das Unternehmens-VLAN oder das native VLAN weiter, welches Routing-Zugriff auf interne Server hat. Sie müssen: (1) ein dediziertes Gäste-VLAN (z. B. VLAN 50) auf dem Core-Switch erstellen; (2) die Gäste-SSID im Ruijie-Controller dem VLAN 50 zuweisen; (3) die Switch-Ports, die die APs verbinden, als 802.1Q-Trunks konfigurieren, die VLAN 50 zulassen; (4) das Ruijie-Gateway so konfigurieren, dass das Routing zwischen VLAN 50 und allen Unternehmens-Subnetzen blockiert wird, sodass nur Internet-Verkehr aus dem Gäste-VLAN zugelassen wird. Authentifizierung und Netzwerksegmentierung sind unabhängige Sicherheitskontrollen – beide müssen korrekt konfiguriert sein.

Q4. In Ihrer Ruijie-Bereitstellung ist Portal Escape aktiviert. Während eines geplanten Wartungsfensters auf den Purple RADIUS-Servern stellen Sie fest, dass Gäste ohne Authentifizierung auf das Internet zugreifen. Ist dies das erwartete Verhalten und welche Auswirkungen hat dies auf die Compliance?

Hinweis: Berücksichtigen Sie den Zweck von Portal Escape und Ihre DSGVO-Pflichten (GDPR).

Musterlösung anzeigen

Ja, dies ist das erwartete Verhalten von Portal Escape. Wenn der Portalserver nicht erreichbar ist, gibt Ruijie den Datenverkehr automatisch frei, um die Konnektivität aufrechtzuerhalten. Dies führt jedoch zu einer Compliance-Lücke: Benutzer greifen auf das Internet zu, ohne ihre Zustimmung zur Datenverarbeitung gegeben zu haben. Dies kann gegen die GDPR-Anforderungen verstoßen, wenn Ihre Nutzungsbedingungen oder die Datenerfassung an den Authentifizierungsvorgang gebunden sind. Für Standorte, an denen die Erfassung der Einwilligung eine rechtliche oder kommerzielle Anforderung ist, sollte Portal Escape deaktiviert werden. Planen Sie die Wartung der RADIUS-Server in Zeiten minimaler Gästeaktivität und kommunizieren Sie das Wartungsfenster an das Management des Standorts. Erwägen Sie die Implementierung eines sekundären Purple RADIUS-Servers als Failover, um dieses Szenario vollständig auszuschließen.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Captive Portal Best Practices: Design für hohe Conversion und Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs ein vollständiges Konzept für die Bereitstellung von Captive Portalen, die Netzwerksicherheit mit hoher User Conversion verbinden. Er deckt die gesamte Architektur ab, von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zur GDPR-konformen Einwilligungserklärung und der Auswahl der Authentifizierungsmethode. Basierend auf den betrieblichen Erfahrungen von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist jede Empfehlung durch reale Bereitstellungsdaten untermauert.

Leitfaden lesen →

How to Optimize Captive Portals for Maximum Network Security and User Conversion

Dieser Leitfaden bietet eine vollständige technische Blaupause für die Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungsarchitektur, die Auswahl von Authentifizierungsmethoden, GDPR-konformes Einwilligungsdesign und die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die Netzwerksicherheit mit der Erfassung von First-Party-Daten in Einklang bringen müssen. Purple betreibt eine Captive Portal-Infrastruktur an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024, und die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.

Leitfaden lesen →