Zum Hauptinhalt springen
Deutsch

So konfigurieren Sie ein Ruijie Captive Portal für Gäste-WiFi

Dieser technische Leitfaden beschreibt die Konfiguration von Gäste-WiFi und Captive Portals auf Ruijie Networks-Hardware und deckt sowohl native Cloud-Portale als auch externe RADIUS-Integrationen ab. Er bietet IT-Managern und Netzwerkarchitekten konkrete Schritte für die VLAN-Isolierung, die Einrichtung von Walled Gardens und die Integration von Drittanbieter-Plattformen zur Förderung von Analysen und Umsätzen.

📖 6 Min. Lesezeit📝 1,358 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und umgangssprachlichen Ton – wie ein leitender IT-Berater, der einen Kunden brieft. Gemäßigtes Tempo, klare Diktion, professionell, aber nicht steif. Gelegentliche natürliche Betonung von technischen Schlüsselbegriffen: So konfigurieren Sie ein Ruijie Captive Portal für Gäste-WiFi. Ein technisches Briefing von Purple. [medium pause] EINFÜHRUNG UND KONTEXT. [short pause] Willkommen. In den nächsten zehn Minuten werden wir alles behandeln, was Sie über die Konfiguration eines Ruijie Captive Portal für Gäste-WiFi wissen müssen – von den Architekturentscheidungen, die über Erfolg oder Misserfolg Ihrer Bereitstellung entscheiden, bis hin zu den spezifischen Konfigurationsschritten, die in den meisten Anleitungen gänzlich fehlen. Wenn Sie IT-Manager, Netzwerkarchitekt oder Leiter des Veranstaltungsbetriebs in einem Hotel, einer Einzelhandelskette, einem Stadion oder einem Konferenzzentrum sind und Ruijie-Hardware vor Ort im Einsatz haben oder diese evaluieren, ist dieses Briefing genau das Richtige für Sie. Ruijie Networks ist weltweit einer der am schnellsten wachsenden Anbieter von Enterprise-WLAN. Laut IDC-Daten belegt Ruijie mit einem Anteil von 23,34 % die Spitzenposition im chinesischen Enterprise-WLAN-Markt, und ihre Präsenz in Europa, dem Nahen Osten und dem asiatisch-pazifischen Raum wächst rasant. Ihre Wireless-Controller der RG-WS-Serie, Gateways der Reyee EG-Serie und Cloud-managed RG-RAP-Access-Points sind mittlerweile in Tausenden von Standorten weltweit im Einsatz. Aber hier ist der Haken: Um Gäste-WiFi auf Ruijie-Hardware – insbesondere den Captive Portal-Teil – richtig einzurichten, müssen Sie vorab einige wichtige Architekturentscheidungen verstehen. Treffen Sie diese Entscheidungen falsch, führt dies zu einem Portal, das auf iOS abstürzt, Gästen, die sich nicht authentifizieren können, und einem Netzwerk, das entweder zu offen oder zu stark eingeschränkt ist. Lassen Sie uns das beheben. [medium pause] TECHNISCHER DEEP-DIVE. [short pause] Zuerst die Architektur. Ruijie bietet Ihnen drei verschiedene Bereitstellungsmodelle für Gäste-WiFi-Captive Portals. Die Wahl des richtigen Modells hängt von Ihrer Skalierung und Ihren Verwaltungsanforderungen ab. Modell eins ist das native, über die Ruijie Cloud oder JaCS verwaltete Portal. JaCS ist das auf das Gastgewerbe ausgerichtete Verwaltungssystem von Ruijie. Dies ist die integrierte Option. Sie melden sich in der Ruijie Cloud an, navigieren zu „Device Config“, dann „Basic“, erstellen oder bearbeiten Ihre Gäste-SSID, aktivieren den Schalter „Authentication“ und wählen „Captive Portal“ als Modus aus. JaCS unterstützt Szenarien für Hotels und andere Bereiche und bietet einen Drag-and-Drop-Portal-Builder mit Anmeldeoptionen wie One-Click-Zugang, Gutscheincodes und kontobasierter Anmeldung. Dies ist die richtige Wahl für kleinere Bereitstellungen – ein einzelnes Hotel, ein Boutique-Einzelhandelsgeschäft oder ein Konferenzzentrum, das eine schnelle, gebrandete Landingpage ohne externe Abhängigkeiten wünscht. Modell zwei ist das externe Captive Portal über WISPr und RADIUS. WISPr – Wireless Internet Service Provider Roaming – ist das Protokoll, das den Redirect- und Authentifizierungs-Handshake zwischen dem Ruijie-Gateway und einer externen Portal-Plattform abwickelt. Dies ist der Enterprise-Ansatz. Diesen benötigen Sie, wenn Sie Ruijie in eine externe Plattform für Gast-WiFi-Intelligence integrieren möchten. Hier navigieren Sie in der Ruijie-Benutzeroberfläche zu „Auth and Account“, wählen „Captive Portal“ aus, stellen den „Policy Mode“ auf „External“ und verweisen mit der „Portal Server URL“ auf Ihre externe Plattform. Anschließend konfigurieren Sie eine RADIUS-Servergruppe mit den von Ihrer Plattform bereitgestellten Zugangsdaten. Dieses Modell lässt sich über Hunderte von Standorten hinweg skalieren, bietet Ihnen zentralisierte Analysen und ermöglicht Ihnen die Durchführung von GDPR-konformen Datenerfassungsprozessen. Modell drei ist der Standalone-AP-Modus. Die Reyee-Access-Points von Ruijie, auf denen ReyeeOS Version 1.219 oder höher ausgeführt wird, können ein lokales Captive Portal ohne ein Gateway betreiben. Dies ist nützlich für temporäre Implementierungen oder kleine Standorte ohne einen EG-Router. Die Funktionalität ist jedoch im Vergleich zu Gateway-basierten Implementierungen eingeschränkt, weshalb Sie dies als Fallback und nicht als primäre Architektur betrachten sollten. [medium pause] Nun zu dem entscheidenden Teil, den die meisten Anleitungen komplett überspringen: die VLAN-Isolierung. Wenn Sie eine Gast-SSID auf Ruijie erstellen, haben Sie zwei Weiterleitungsoptionen – den NAT-Modus und den VLAN-Modus. Der NAT-Modus ist einfacher. Das Gateway weist Gastgeräten Adressen aus einem dedizierten Pool zu, standardmäßig meist 192.168.23.0 Slash 24, und der gesamte Gast-Traffic wird per NAT ins Internet geleitet. Dies funktioniert für ein Proof of Concept, bietet Ihnen jedoch auf Layer 3 nur begrenzte Sichtbarkeit und Kontrolle über den Gast-Traffic. Der VLAN-Modus ist die richtige Wahl für jede Produktivbereitstellung. Sie weisen die Gast-SSID einem dedizierten VLAN zu, beispielsweise VLAN 100, und verwenden ACLs auf dem Gateway, um zu verhindern, dass Gast-Traffic Ihr Unternehmens-VLAN erreicht. Das Muster lautet: Erstellen Sie eine erweiterte Access-List, verweigern Sie IP-Traffic vom Gast-Subnetz zum Unternehmens-Subnetz, lassen Sie alles andere zu und wenden Sie diese Access-List eingehend auf dem Gast-BVI-Interface an. Dies ist dasselbe Prinzip, das Sie auch bei Cisco Meraki, HPE Aruba oder Ruckus anwenden würden – Ruijie hat lediglich seine eigene CLI-Syntax. Sicherheitsstandards sind hierbei wichtig. Ruijie unterstützt WPA3-Personal und den WPA2-Slash-WPA3-Mischmodus auf Gast-SSIDs. Für ein Gastnetzwerk, bei dem Sie einen reibungslosen Zugriff wünschen, betreiben Sie in der Regel eine offene SSID mit Captive Portal-Authentifizierung anstelle eines Pre-Shared Keys. Das Captive Portal wird so zu Ihrer Authentifizierungsebene. Wenn Sie eine stärkere Sicherheit benötigen – beispielsweise im Gesundheitswesen oder im Finanzdienstleistungsbereich –, können Sie IEEE 802.1X darüberlegen und EAP-TLS oder PEAP mit einem RADIUS-Server für eine zertifikatsbasierte oder anmeldedatenbasierte Authentifizierung nutzen. Die Controller der RG-WS-Serie von Ruijie unterstützen vollständiges 802.1X mit dynamischer VLAN-Zuweisung, was bedeutet, dass Sie verschiedenen Benutzergruppen basierend auf RADIUS-Attributen unterschiedliche VLANs zuweisen können. [medium pause] Der Walled Garden – oder die Allowlist – ist ein weiterer Bereich, der häufig zu Problemen führt. Bevor sich ein Gast über das Captive Portal authentifiziert, befindet sich sein Gerät in einem eingeschränkten Zustand. Es kann nur Domains erreichen, die Sie explizit auf die Whitelist gesetzt haben. Mindestens müssen Sie die Domain und IP-Adresse Ihrer Portal-Plattform, alle von Ihnen genutzten Social-Login-Anbieter und Apples Endpunkt zur Erkennung von Captive Portals – captive.apple.com – zulassen. Wenn Sie Letzteres vergessen, wird auf iOS-Geräten ein fehlerhaftes Portal-Erlebnis angezeigt. Sie konfigurieren die Allowlist in der Ruijie Cloud unter „Auth and Account“ und dann „Allowlist“. Fügen Sie jede Domain und IP-Adresse einzeln hinzu. [medium pause] IMPLEMENTIERUNGSEMPFEHLUNGEN UND STOLPERSTEINE. [short pause] Lassen Sie mich Ihnen die vier Entscheidungen vorstellen, die über Erfolg oder Misserfolg Ihrer Ruijie-Gast-WiFi-Bereitstellung entscheiden. Entscheidung eins: natives Portal versus externe Plattform. Wenn Sie mehr als fünf Standorte betreiben oder First-Party-Daten für das Marketing erfassen müssen, sollten Sie eine externe Plattform nutzen. Purple beispielsweise fungiert als hardwareunabhängiges Cloud-Overlay in über 80.000 Live-Standorten. Sie verweisen mit Ihrem Ruijie-Gateway auf die Portal-URL von Purple, konfigurieren die RADIUS-Anmeldedaten und erhalten zentrale Analysen, GDPR-konforme Datenerfassung und CRM-Integrationen – und das alles, ohne die Ruijie-Hardware jemals wieder anzufassen. Purple hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet und ist nach ISO 27001 zertifiziert, sodass der Compliance-Aspekt abgedeckt ist. Entscheidung zwei: NAT versus VLAN. Verwenden Sie für Produktivbereitstellungen immer den VLAN-Modus. Der NAT-Modus eignet sich für ein Proof of Concept, aber der VLAN-Modus bietet Ihnen eine echte Layer-3-Isolierung, eine einfachere Verwaltung der Firewall-Richtlinien und die Möglichkeit, QoS-Richtlinien pro VLAN anzuwenden. Entscheidung drei: Bandbreitenmanagement. Die EG-Gateways von Ruijie verfügen über integrierte QoS-Steuerungen. Legen Sie Download- und Upload-Limits pro Benutzer für die Gast-SSID fest – in der Regel zwei bis fahr Megabit pro Sekunde Download für ein Standard-Gastnetzwerk. Dies verhindert, dass ein einzelner Gast, der 4K-Videos streamt, das Erlebnis für alle anderen beeinträchtigt. Wenn Sie eine externe Plattform verwenden, deaktivieren Sie „Client Escape“ auf der Ruijie-Seite, um sicherzustellen, dass die Bandbreitensteuerungen der Plattform korrekt wirksam werden. Entscheidung vier: Sitzungs-Timeout und Re-Authentifizierung. Legen Sie ein vernünftiges Sitzungs-Timeout fest – acht bis 24 Stunden für das Gastgewerbe, kürzer für den Einzelhandel oder Veranstaltungen. Ruijie ermöglicht es Ihnen, dies pro Portal-Richtlinie zu konfigurieren. Verknüpfen Sie dies mit einer Redirect-URL nach dem Login, sodass Gäste nach der Verbindung auf der Website Ihres Standorts oder einer Aktionsseite landen. [medium pause] Der häufigste Stolperstein, den ich beobachte, ist, dass Teams ein Captive Portal bereitstellen, ohne es gleichzeitig auf iOS und Android zu testen. Apple und Google verfügen beide über Mechanismen zur Erkennung von Captive Portals, die sich unterschiedlich verhalten. Testen Sie beide vor dem Go-live. Der zweithäufigste Stolperstein ist das Vergessen der Synchronisierung der Portal-Konfiguration mit dem EG-Produkt in JaCS – es gibt eine explizite Schaltfläche „Synchronisieren“, auf die Sie nach dem Erstellen oder Bearbeiten eines Portals klicken müssen, da das Gateway die Änderungen andernfalls nicht übernimmt. [medium pause] SCHNELLE FRAGEN UND ANTWORTEN. [short pause] Lassen Sie mich die Fragen durchgehen, die mir am häufigsten gestellt werden. Können Ruijie APs ein Captive Portal ohne Gateway betreiben? Ja, auf ReyeeOS 1.219 oder höher, aber der Funktionsumfang ist im Vergleich zu Gateway-basierten Bereitstellungen eingeschränkt. Unterstützt Ruijie 802.1X für Gastnetzwerke? Ja, die Controller der RG-WS-Serie unterstützen volles 802.1X mit dynamischer VLAN-Zuweisung über RADIUS. Kann ich Ruijie mit Purple integrieren? Ja. Konfigurieren Sie den externen Captive Portal-Modus, leiten Sie die Portal-URL an den Endpunkt von Purple weiter, richten Sie die RADIUS-Servergruppe mit den Anmeldedaten von Purple ein und fügen Sie die Domains von Purple zur Freigabeliste hinzu. Die hardwareunabhängige Architektur von Purple übernimmt den Rest. Funktioniert WPA3 mit Captive Portals? Ja. Sie betreiben eine offene SSID für den Captive Portal-Ablauf. WPA3 gilt für authentifizierte SSIDs. Für Gastnetzwerke ist das Portal selbst die Authentifizierungsebene. Welche RADIUS-Ports verwendet Ruijie? Port 1812 für die Authentifizierung und Port 1813 für Accounting – dies sind die von der IANA zugewiesenen Standardports gemäß RFC 2865 und RFC 2866. [medium pause] ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE. [short pause] Zusammenfassend lässt sich sagen: Ruijie Networks bietet Ihnen eine leistungsstarke und flexible Plattform für die Bereitstellung von Gast-WiFi und Captive Portals. Die drei Bereitstellungsmodelle – natives Cloud-Portal, externes RADIUS-basiertes Portal und eigenständiger AP – decken alles ab, vom Boutique-Hotel an einem einzelnen Standort bis hin zu einer Einzelhandelskette mit mehreren Standorten. Die wichtigsten Entscheidungen sind: VLAN-Isolierung über NAT für jede produktive Bereitstellung. Externe Plattform für alle Anwendungsfälle mit mehreren Standorten oder zur Datenerfassung. Eine korrekte Walled-Garden-Konfiguration, um iOS-Authentifizierungsfehler zu vermeiden. Und testen Sie vor der Live-Schaltung immer sowohl auf iOS als auch auf Android. Ihre nächsten Schritte: Überprüfen Sie Ihre aktuellen Ruijie-Firmware-Versionen, um die Kompatibilität mit ReyeeOS zu bestätigen. Entscheiden Sie, ob Sie eine native oder externe Portal-Verwaltung benötigen. Wenn Sie mehr als fünf Standorte betreiben oder Analysen benötigen, sprechen Sie mit Purple über die Integration ihrer Plattform in Ihre Ruijie-Infrastruktur. Purple ist in über 80.000 Standorten im Einsatz, verarbeitet Hunderte Millionen Logins pro Jahr und ist nach ISO 27001, GDPR und Cyber Essentials zertifiziert. Die Integrationsdokumentation von Purple finden Sie unter purple.ai, wo Sie auch eine Demo anfordern können. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

Die Konfiguration von Gäste-WiFi und Captive Portals auf Hardware von Ruijie Networks erfordert ein klares Verständnis der Plattformarchitektur, insbesondere der Wahl zwischen nativen Cloud-Portalen und externen RADIUS-Integrationen. Dieses technische Referenzhandbuch bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs die entscheidenden Schritte zur Bereitstellung sicherer, isolierter und skalierbarer Gästenetzwerke mit Ruijie RG-WS-Controllern und Reyee EG-Gateways. Wir behandeln den Übergang von der einfachen NAT-Weiterleitung zur robusten VLAN-Isolierung, die Konfiguration externer Captive Portals über WISPr und die Integration von Drittanbieter-Plattformen wie Purple, um First-Party-Daten zu erfassen und den Umsatz zu steigern. Unabhängig davon, ob Sie ein einzelnes Hotel oder ein standortübergreifendes Einzelhandelsportfolio verwalten, liefert dieser Leitfaden die praktischen, herstellerneutralen Konfigurationsschritte, die für den Aufbau eines rechtskonformen und leistungsstarken Wireless-Netzwerks erforderlich sind.

Technical Deep-Dive

Ruijie Networks bietet eine robuste Wireless-Architektur der Enterprise-Klasse, die mehrere Bereitstellungsmodelle für den Gästezugang unterstützt. Die Kernentscheidung für jeden Netzwerkarchitekten ist die Auswahl des geeigneten Authentifizierungsflusses und der Isolationsstrategie.

Captive Portal Deployment Models

Ruijie unterstützt drei verschiedene Bereitstellungsmodelle für Captive Portals, die jeweils für unterschiedliche betriebliche Anforderungen geeignet sind:

  1. Native Cloud Portal (Ruijie JaCS): Die integrierte Ruijie Cloud-Plattform, speziell die JaCS-Schnittstelle für das Gastgewerbe, bietet einen Drag-and-Drop-Portal-Builder. Dieses Modell wird unter „Device Config“ konfiguriert, wobei die SSID-Authentifizierung auf Captive Portal eingestellt wird. Es unterstützt grundlegende Anmeldeoptionen wie One-Click-Zugang und Gutscheincodes. Dies eignet sich für Einzelstandorte, die keine tiefgehenden Analysen oder externen CRM-Integrationen erfordern.
  2. External Captive Portal (WISPr/RADIUS): Für Enterprise-Bereitstellungen, den standortübergreifenden Einzelhandel und große öffentliche Veranstaltungsorte ist das externe Portalmodell zwingend erforderlich. Dieser Ansatz nutzt das WISPr-Protokoll, um den Gästedatenverkehr an eine Drittanbieter-Plattform wie Purple umzuleiten. Die Authentifizierung wird über eine externe RADIUS-Servergruppe mit PAP-Verschlüsselung abgewickelt. Dieses Modell ermöglicht eine fortschrittliche Datenerfassung, das GDPR-Compliance-Management und eine nahtlose Integration in bestehende Marketing-Stacks.
  3. Standalone AP Portal: Ruijie Reyee Access Points mit ReyeeOS 1.219 oder höher unterstützen ein lokalisiertes Captive Portal, ohne dass ein EG-Gateway erforderlich ist. Dies ist eine Fallback-Option für temporäre Bereitstellungen, bietet jedoch nicht die robusten QoS- und Isolationsfunktionen einer Controller-basierten Architektur.

deployment_model_comparison.png

Netzwerk-Isolation: NAT versus VLAN

Die wichtigste architektonische Entscheidung ist die Frage, wie der Gastdatenverkehr vom Unternehmensnetzwerk isoliert werden soll. Ruijie bietet zwei Weiterleitungsmodi für Gäste-SSIDs:

  • NAT-Modus: Das Gateway weist IP-Adressen aus einem dedizierten Pool zu (standardmäßig 192.168.23.0/24) und führt eine Network Address Translation (NAT) durch, bevor der Datenverkehr ins Internet geleitet wird. Obwohl diese Methode einfach zu implementieren ist, bietet sie auf Layer 3 nur begrenzte Transparenz und Kontrolle über den Gastdatenverkehr.
  • VLAN-Modus: Der empfohlene Unternehmensstandard. Die Gäste-SSID wird einem dedizierten VLAN zugewiesen (z. B. VLAN 100). Das Reyee EG Gateway oder der RG-WS Controller verwendet Access Control Lists (ACLs), um eine strikte Isolation zu erzwingen. Es muss eine erweiterte ACL konfiguriert werden, um IP-Datenverkehr vom Gäste-Subnetz zum Unternehmens-Subnetz zu blockieren, während der ausgehende Internetzugang erlaubt wird. Dieser Ansatz entspricht den Prinzipien aus What Is Secure WiFi: Essential Guide for Business 2026 .

architecture_overview.png

Walled Garden Konfiguration

Bevor ein Gast die Authentifizierung am Captive Portal abschließt, befindet sich sein Gerät in einem eingeschränkten Zustand. Ein Walled Garden (Erlaubnisliste) muss konfiguriert werden, um den Zugriff auf wichtige Dienste zu ermöglichen. Wenn Sie eine externe Plattform nutzen, müssen Sie die Domain der Plattform, die IP-Adressen und die Authentifizierungsendpunkte aller Social-Login-Anbieter (wie Facebook oder Google) hinzufügen. Wichtig ist auch die Aufnahme von captive.apple.com, um sicherzustellen, dass iOS-Geräte den Mini-Browser des Captive Portals korrekt aktivieren.

captive_portal_flow.png

Implementierungsleitfaden

Die Bereitstellung eines externen Captive Portals auf Ruijie-Hardware erfordert eine präzise Konfiguration der SSID, der Authentifizierungsrichtlinien und der Netzwerk-Isolationsschichten. Befolgen Sie diese Schritte, um Ruijie in eine externe Plattform wie Purple für erweiterte Guest WiFi -Analysen zu integrieren.

Schritt 1: Konfigurieren Sie die Gäste-SSID und das VLAN

  1. Navigieren Sie zu den Wireless-Einstellungen und erstellen Sie eine neue SSID, die für Ihren Standort passend benannt ist.
  2. Stellen Sie den Sicherheitsmodus auf „Open“ (Offen) ein. Das Captive Portal dient als Authentifizierungsmechanismus.
  3. Weisen Sie die SSID Ihrem dafür vorgesehenen Gäste-VLAN zu. Stellen Sie sicher, dass die entsprechende VLAN-Schnittstelle auf Ihrem EG Gateway mit einem DHCP-Bereich konfiguriert ist.

Schritt 2: Konfigurieren Sie die externe Captive Portal Richtlinie

  1. Navigieren Sie zum Bereich „Auth & Account“.
  2. Wählen Sie im Authentifizierungsmenü „Captive Portal“ aus.
  3. Erstellen Sie eine neue Richtlinie und stellen Sie den Richtlinienmodus auf „External“ (Extern) ein.
  4. Wählen Sie die in Schritt 1 erstellte Gäste-SSID aus.
  5. Geben Sie die von Ihrer externen Plattform bereitgestellte Portal-Server-URL ein (z. B. den Portal-Endpunkt von Purple).
  6. Konfigurieren Sie die RADIUS-Servergruppe mit den IP-Adressen, Ports (normalerweise 1812 für Authentifizierung und 1813 für Accounting) und Shared Secrets, die von Ihrer Plattform bereitgestellt werden.

Schritt 3: Definition des Walled Garden

  1. Navigieren Sie zu Auth & Account, dann zu Allowlist.
  2. Fügen Sie die erforderlichen Domänen und IP-Adressen hinzu. Für eine Purple-Integration umfasst dies die Domänen von Purple, Apples Captive Portal-Erkennungs-URL (captive.apple.com) und alle erforderlichen Endpunkte für die Social-Media-Authentifizierung.

Schritt 4: Bandbreitenmanagement anwenden

  1. Navigieren Sie zu den QoS-Einstellungen auf Ihrem EG-Gateway.
  2. Wenden Sie Download- und Upload-Limits pro Benutzer auf das Gäste-VLAN an. Eine Standardzuweisung liegt je nach Backhaul-Kapazität zwischen 2 Mbit/s und 5 Mbit/s pro Benutzer. Dies ist entscheidend für ein effektives Bandwidth Management .
  3. Wenn Ihre externe Plattform QoS verarbeitet, stellen Sie sicher, dass "Client Escape" auf dem Ruijie-Gateway deaktiviert ist, um zu verhindern, dass Benutzer die Einschränkungen des Portals umgehen.

Best Practices

Bei der Bereitstellung von Ruijie Captive Portals gewährleistet die Einhaltung von Industriestandards und herstellerneutralen Best Practices ein zuverlässiges und sicheres Gästeerlebnis.

  • Layer-3-Isolierung erzwingen: Verwenden Sie immer den VLAN-Modus mit strengen ACLs, um den Gästedatenverkehr von Unternehmensressourcen zu trennen. Sich allein auf den NAT-Modus zu verlassen, setzt das Netzwerk unnötigen Risiken aus. Lesen Sie Why Consumer WiFi Gear Doesn't Belong on Your Guest Network für weitere Informationen.
  • Optimierung des Walled Garden: Ein falsch konfigurierter Walled Garden ist die Hauptursache für Fehler beim Captive Portal auf Mobilgeräten. Überprüfen Sie regelmäßig Ihre Allowlist, um sicherzustellen, dass alle erforderlichen Domänen, insbesondere die von Social-Login-Anbietern, vor der Authentifizierung zugänglich sind.
  • Robustes QoS implementieren: Unverwaltete Gästenetzwerke verschlechtern sich schnell. Wenden Sie Bandbreitenlimits pro Benutzer am Gateway oder über die externe Portal-Plattform an, um einen fairen Zugriff für alle Benutzer zu gewährleisten.
  • Plattformübergreifend testen: Testen Sie den Captive Portal-Ablauf immer sowohl auf iOS- als auch auf Android-Geräten, bevor Sie in die Produktionsumgebung gehen. Die Betriebssysteme handhaben die Erkennung von Captive Portals unterschiedlich, und Tests gewährleisten eine konsistente Benutzererfahrung.

Fehlerbehebung & Risikominderung

Selbst bei einer soliden Konfiguration können Probleme auftreten. Hier sind häufige Fehlerszenarien und wie man sie behebt.

iOS-Geräte zeigen das Portal nicht an

  • Ursache: Der Apple-Endpunkt zur Erkennung des Captive Portals ist blockiert.
  • Fehlerbehebung: Überprüfen Sie, ob captive.apple.com explizit in der Ruijie-Allowlist unter Auth & Account hinzugefügt wurde. Ohne dies können iOS-Geräte den Mini-Browser nicht aktivieren.

Authentifizierung schlägt nach Eingabe der Daten fehl

  • Ursache: RADIUS-Kommunikationsfehler zwischen dem Ruijie-Gateway und der externen Plattform.
  • Fehlerbehebung: Überprüfen Sie das RADIUS Shared Secret auf Tippfehler. Stellen Sie sicher, dass das EG-Gateway ausgehenden Internetzugang über die UDP-Ports 1812 und 1813 hat. Überprüfen Sie, ob die öffentliche IP-Adresse des Gateways korrekt auf der externen Plattform registriert ist.

Gäste umgehen Bandbreitenlimits

  • Ursache: 'Client Escape' ist aktiviert oder die QoS-Richtlinien sind falsch konfiguriert.
  • Behebung: Deaktivieren Sie 'Client Escape' auf dem Ruijie-Gateway, wenn Sie eine externe Plattform für QoS nutzen. Stellen Sie sicher, dass die QoS-Richtlinie auf das richtige VLAN oder die richtige Benutzergruppe angewendet wird.

ROI & geschäftlicher Nutzen

Der Übergang von einem einfachen, offenen Netzwerk zu einem verwalteten Captive Portal, das in eine Plattform wie Purple integriert ist, verwandelt das Gäste-WiFi von einem Kostenfaktor in einen umsatzgenerierenden Vermögenswert.

Durch die Erfassung von First-Party-Daten über das Portal können Veranstaltungsorte detaillierte Kundenprofile erstellen, die Besuchshäufigkeit verfolgen und zielgerichtete Marketingkampagnen bereitstellen. Dies ist besonders wertvoll in Einzelhandels- und Gastronomie-Umgebungen , in denen das Verständnis des Kundenverhaltens direkten Einfluss auf das Geschäftsergebnis hat. Darüber hinaus ermöglichen die von der Plattform bereitgestellten WiFi-Analysen den Betriebsteams, den Personaleinsatz zu optimieren, das Layout der Veranstaltungsorte zu verbessern und den Erfolg von Marketinginitiativen zu messen. Der Return on Investment wird durch eine höhere Kundenbindung, höhere Ausgaben pro Besuch und die Möglichkeit, das Netzwerk durch Sponsoring oder Premium-Zugangstarife zu monetarisieren, realisiert.

Audio-Briefing

Hören Sie sich das vollständige technische Briefing zur Konfiguration von Ruijie Captive Portals an:

Schlüsseldefinitionen

WISPr

Wireless Internet Service Provider roaming. Ein Protokoll, das die Weiterleitung und den Authentifizierungs-Handshake zwischen einem Wireless Gateway und einem externen Captive Portal erleichtert.

Erforderlich bei der Integration von Ruijie-Hardware in Analyseplattformen von Drittanbietern wie Purple.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) bietet.

Wird von Ruijie-Gateways verwendet, um Gastsitzungen mit der Datenbank einer externen Plattform zu authentifizieren.

VLAN Isolation

Die Praxis, Gast-Traffic einem separaten Virtual Local Area Network zuzuweisen und Access Control Lists (ACLs) zu verwenden, um die Kommunikation mit Unternehmensnetzwerken zu blockieren.

Der obligatorische Sicherheitsstandard für Enterprise-Gast-WiFi-Bereitstellungen.

Walled Garden

Eine eingeschränkte Netzwerkumgebung, die den Zugriff auf bestimmte, freigegebene Domänen oder IP-Adressen ermöglicht, bevor sich ein Benutzer vollständig authentifiziert.

Erforderlich, damit Geräte die Captive Portal-Seite und alle erforderlichen Social-Login-Anbieter erreichen können.

Client Escape

Eine Funktion auf Ruijie-Gateways, die es Clients bei Aktivierung ermöglicht, Portal-Einschränkungen unter bestimmten Bedingungen zu umgehen.

Muss deaktiviert werden, wenn für QoS und Bandbreitenmanagement eine externe Plattform genutzt wird.

JaCS

Das native, auf das Gastgewerbe ausgerichtete Cloud-Managementsystem von Ruijie, das einen integrierten Captive Portal-Builder enthält.

Wird für das Bereitstellungsmodell Native Cloud Portal verwendet, wenn keine externe Integration erforderlich ist.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlich zugänglichen Netzwerks anzeigen und mit der er interagieren muss, bevor der Zugriff gewährt wird.

Der primäre Mechanismus für das Onboarding von Gästen, die Annahme von Nutzungsbedingungen und die Datenerfassung.

Access Control List (ACL)

Eine Reihe von Regeln, die auf eine Netzwerkschnittstelle angewendet werden und Datenverkehr basierend auf IP-Adressen oder Protokollen explizit zulassen oder blockieren.

Wird in Verbindung mit VLANs verwendet, um eine strikte Isolierung zwischen Gast- und Unternehmensnetzwerken durchzusetzen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern möchte in seiner gesamten Anlage ein Gäste-WiFi mit Ruijie Reyee EG-Gateways und RAP-Access-Points bereitstellen. Benötigt werden ein nahtloses Onboarding, Bandbreitenbegrenzungen von 5 Mbps pro Benutzer und eine Integration in das bestehende CRM-System, um E-Mail-Adressen von Gästen für das Marketing nach dem Aufenthalt zu erfassen. Zudem muss sichergestellt werden, dass Gastgeräte nicht auf das Back-Office-Netzwerk des Hotels zugreifen können. Wie sollte der Netzwerkarchitekt die Ruijie-Hardware konfigurieren?

  1. Konfigurieren Sie die Gäste-SSID mit der Sicherheitsstufe "Offen" und weisen Sie sie einem dedizierten VLAN zu (z. B. VLAN 100). 2. Konfigurieren Sie auf dem EG-Gateway eine erweiterte ACL, um Datenverkehr von VLAN 100 zum Unternehmens-VLAN (z. B. VLAN 10) zu blockieren, während der ausgehende Internetzugang zugelassen wird. 3. Navigieren Sie zu Auth & Account und konfigurieren Sie eine externe Captive Portal-Richtlinie unter Verwendung des WISPr-Protokolls. 4. Verweisen Sie mit der Portal-Server-URL auf die in das CRM integrierte Plattform (z. B. Purple) und konfigurieren Sie die RADIUS-Servergruppe mit den bereitgestellten Anmeldedaten. 5. Fügen Sie die erforderlichen Domänen zur Allowlist hinzu, einschließlich der Portal-Domäne, Social-Login-Endpunkte und captive.apple.com. 6. Wenden Sie eine QoS-Richtlinie auf dem EG-Gateway an, um die Bandbreite pro Benutzer im VLAN 100 auf 5 Mbps zu begrenzen.
Kommentar des Prüfers: Dieser Ansatz erkennt korrekt die Notwendigkeit eines externen Portals, um die Anforderungen an die CRM-Integration zu erfüllen. Er priorisiert die Sicherheit, indem er eine VLAN-Isolierung mit ACLs vorschreibt, anstatt sich auf den NAT-Modus zu verlassen. Darüber hinaus berücksichtigt er die kritische Walled-Garden-Konfiguration, die für die iOS-Kompatibilität erforderlich ist, und implementiert die geforderte Bandbreitenbegrenzung.

Ein großes Konferenzzentrum veranstaltet einen dreitägigen Technologie-Gipfel. Zum Einsatz kommen Ruijie RG-WS-Controller. Es wird ein Captive Portal benötigt, das Teilnehmer mit einem speziellen Event-Code authentifiziert. Eine langfristige Datenerfassung oder eine externe CRM-Integration sind nicht erforderlich, aber das Portal muss auf allen Teilnehmergeräten zuverlässig geladen werden. Was ist das effizienteste Bereitstellungsmodell?

  1. Nutzen Sie das native Cloud-Portal-Bereitstellungsmodell (Ruijie JaCS). 2. Navigieren Sie in der Ruijie Cloud zu Device Config und konfigurieren Sie die Gäste-SSID für die Captive Portal-Authentifizierung. 3. Verwenden Sie den JaCS-Portal-Builder, um eine gebrandete Begrüßungsseite zu erstellen. 4. Wählen Sie die Login-Option "Voucher" oder "Access Code" und generieren Sie den spezifischen Event-Code für den Gipfel. 5. Stellen Sie sicher, dass der Walled Garden so konfiguriert ist, dass er captive.apple.com zulässt, um sicherzustellen, dass das Portal auf iOS-Geräten ausgelöst wird. 6. Synchronisieren Sie die Konfiguration mit dem RG-WS-Controller.
Kommentar des Prüfers: Diese Lösung erkennt richtig, dass das native Cloud-Portal die effizienteste Wahl ist, da keine externe Datenerfassung oder CRM-Integration erforderlich ist. Sie nutzt die integrierten JaCS-Funktionen für voucherbasierten Zugriff effektiv und weist gleichzeitig korrekt auf die Bedeutung der Walled-Garden-Konfiguration für die iOS-Kompatibilität hin.

Übungsfragen

Q1. Eine Einzelhandelskette mit 50 Standorten möchte ein Gäste-WiFi mit Ruijie Reyee EG Gateways bereitstellen. Es wird die Möglichkeit benötigt, E-Mail-Adressen von Kunden zu erfassen und diese mit dem zentralen CRM zu synchronisieren. Welches Portal-Bereitstellungsmodell müssen sie wählen?

Hinweis: Berücksichtigen Sie die Anforderungen an die Integration externer Systeme und die Datenerfassung.

Musterlösung anzeigen

Sie müssen das External Captive Portal (WISPr/RADIUS)-Modell wählen. Das Native Cloud Portal (JaCS) unterstützt keine erweiterten externen CRM-Integrationen oder eine zentralisierte Datenerfassung über ein großes, standortübergreifendes Anwesen hinweg.

Q2. Nach der Bereitstellung eines External Captive Portals in einem Ruijie-Netzwerk zeigen Android-Geräte die Login-Seite erfolgreich an, aber iOS-Geräte zeigen einen leeren Bildschirm oder rufen das Portal nicht auf. Was ist die wahrscheinlichste Ursache?

Hinweis: Überprüfen Sie die Anforderungen für den eingeschränkten Netzwerkzustand vor der Authentifizierung.

Musterlösung anzeigen

Der Walled Garden (Allowlist) ist falsch konfiguriert. Insbesondere wurde wahrscheinlich captive.apple.com weggelassen. iOS-Geräte benötigen Zugriff auf diesen Endpunkt, um das Captive Portal zu erkennen und den Mini-Browser zu starten.

Q3. Ein Netzwerkadministrator hat eine Gäste-SSID auf einem Ruijie Gateway im NAT-Modus konfiguriert. Warum wird dieser Ansatz für eine Unternehmensbereitstellung nicht empfohlen und was sollte stattdessen verwendet werden?

Hinweis: Berücksichtigen Sie den Grad der Kontrolle und Isolierung, der für den Gästeverkehr erforderlich ist.

Musterlösung anzeigen

Der NAT-Modus bietet nur begrenzte Transparenz und Kontrolle über den Gästeverkehr auf Layer 3, was die Durchsetzung strenger Sicherheitsrichtlinien erschwert. Der empfohlene Ansatz ist der VLAN-Modus, bei dem die Gäste-SSID einem dedizierten VLAN zugewiesen wird und Access Control Lists (ACLs) verwendet werden, um den Datenverkehr zum Unternehmensnetzwerk explizit zu sperren.

Weiterlesen in dieser Reihe

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Leitfaden lesen →

Captive Portal Best Practices: Design für hohe Conversion und Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs ein vollständiges Konzept für die Bereitstellung von Captive Portalen, die Netzwerksicherheit mit hoher User Conversion verbinden. Er deckt die gesamte Architektur ab, von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zur GDPR-konformen Einwilligungserklärung und der Auswahl der Authentifizierungsmethode. Basierend auf den betrieblichen Erfahrungen von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 ist jede Empfehlung durch reale Bereitstellungsdaten untermauert.

Leitfaden lesen →

How to Optimize Captive Portals for Maximum Network Security and User Conversion

Dieser Leitfaden bietet eine vollständige technische Blaupause für die Optimierung von Captive Portals in Unternehmensstandorten und deckt Netzwerksegmentierungsarchitektur, die Auswahl von Authentifizierungsmethoden, GDPR-konformes Einwilligungsdesign und die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die Netzwerksicherheit mit der Erfassung von First-Party-Daten in Einklang bringen müssen. Purple betreibt eine Captive Portal-Infrastruktur an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024, und die hier vorgestellten Frameworks spiegeln diese betriebliche Erfahrung wider.

Leitfaden lesen →