Zum Hauptinhalt springen
Deutsch

SonicWall TZ and SonicWave Integration with Purple WiFi

Diese technische Referenz beschreibt die Integration von SonicWall TZ Firewalls und SonicWave APs mit der Purple WiFi Plattform. Sie bietet konkrete Konfigurationsschritte für die Weiterleitung zum Captive Portal, Walled-Garden-Ausnahmen, 802.1X-Authentifizierung und dynamische VLAN-Steuerung mittels Private Pre-Shared Keys (PPSK).

📖 6 Min. Lesezeit📝 1,263 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
SONICWALL TZ- UND SONICWAVE-INTEGRATION MIT PURPLE WIFI Purple WiFi Intelligence Platform - Technical Briefing Series Dauer: Ca. 10 Minuten Stimme: Britisches Englisch, Tonfall eines Senior Consultants - selbstbewusst, gesprächig, autoritär --- SEGMENT 1: EINFÜHRUNG UND KONTEXT (ca. 1 Minute) Willkommen zur Purple Technical Briefing Series. Heute behandeln wir eine der technisch anspruchsvolleren Integrationen im Bereich Enterprise-WiFi: SonicWall TZ-Firewalls und SonicWave Access Points, bereitgestellt zusammen mit Purple für die Gäste-Authentifizierung, die Zugriffskontrolle für Mitarbeiter und die Netzwerkisolierung für Mandanten. Wenn Sie ein IT-Sicherheitsingenieur oder ein MSP sind, der Standorte verwaltet – Hotels, Einzelhandelsketten, Konferenzzentren oder gemischt genutzte Immobilien –, dann ist dieses Briefing genau das Richtige für Sie. Wir werden zügig durch die Architektur, die Konfigurationsschritte und die Fallstricke gehen, bei denen Implementierungen schiefgehen können. SonicWall ist eine starke Wahl im KMU- und Mid-Market-Bereich. Die Firewalls der TZ-Serie sind weit verbreitet, und SonicWave APs lassen sich nativ über SonicOS und den Wireless Network Manager integrieren. Wenn Sie Purple hinzufügen, erhalten Sie eine Cloud-gesteuerte Gäste-WiFi-Ebene mit gebrandeten Splash Pages, RADIUS-basierter Authentifizierung und First-Party-Datenerfassung – und das alles, ohne Ihre bestehende SonicWall-Infrastruktur ersetzen zu müssen. Lassen Sie uns direkt in die Architektur einsteigen. --- SEGMENT 2: TECHNISCHER DEEP-DIVE (ca. 5 Minuten) Hierbei sind vier verschiedene Anwendungsfälle zu berücksichtigen, von denen jeder einen anderen Konfigurationspfad hat: Gäste-WiFi mit Captive Portal-Weiterleitung, Walled Garden-Ausnahmen, sicheres Mitarbeiter-WiFi über 802.1X und Mandantenisolierung mittels SonicWall Private Pre-Shared Keys – PPSK – mit dynamischer VLAN-Steuerung. Beginnen wir mit dem Gäste-WiFi und dem SonicWall Captive Portal. SonicOS verwendet einen Mechanismus namens Lightweight Hotspot Messaging – LHM –, um externe Captive Portal-Weiterleitungen zu verarbeiten. Wenn sich ein Gast mit Ihrer Gäste-SSID verbindet und einen Browser öffnet, fängt die SonicWall diese HTTP-Anfrage ab und leitet sie an die Splash-Page-URL von Purple weiter. Der Gast authentifiziert sich auf der Purple-Plattform – via Social Login, E-Mail oder Click-Through – und Purple sendet eine LHM-Autorisierung über den TCP-Port 4043 zurück an die SonicWall. Die SonicWall gibt daraufhin den Internetzugang für die MAC-Adresse dieses Geräts frei. Die Konfiguration in SonicOS 7.x sieht wie folgt aus: Navigieren Sie zuerst zu „Object“, dann zu „Match Objects“ und schließlich zu „Zones“. Bearbeiten Sie die Zone, die Ihrem Gäste-WiFi zugewiesen ist – in der Regel ein WLAN oder eine benutzerdefinierte Zone. Aktivieren Sie unter „Guest Services“ sowohl „Enable Guest Services“ als auch „External Guest Authentication“. Gehen Sie dann zu „Configure“, „Guest Services“, „General“. Stellen Sie das „Client Redirect Protocol“ auf HTTP ein. Geben Sie den Portal-Hostnamen von Purple als Webserver-Adresse ein – das ist portal.purple.ai. Legen Sie den Weiterleitungspfad auf die spezifische Splash-Page-URL Ihres Standorts fest, die Purple im Dashboard des Standorts bereitstellt. Der Port ist 4043. Richten Sie auf der Registerkarte "Auth Pages" die Login-URL auf die externe Portal-URL von Purple ein. Richten Sie die Logout-URL ein, wenn Sie die Beendigung von Sitzungen verwalten möchten. Aktivieren Sie auf der Registerkarte "Advanced" die Option "Allow unauthenticated users to access HTTPS sites" nur dann, wenn Sie HTTPS-first-Geräte unterstützen müssen – beachten Sie jedoch, dass dies die Durchsetzung der Weiterleitung abschwächt. Nach dem Speichern erstellt SonicOS automatisch eine NAT-Richtlinie und eine WAN-zu-WAN-Zugriffsregel, die TCP 4043 zulässt. Löschen Sie diese automatisch generierten Regeln nicht. Sie sind erforderlich, damit der LHM-Handshake abgeschlossen werden kann. Nun zur Konfiguration des Walled Garden. Bevor sich ein Gast authentifiziert, muss sein Gerät bestimmte Domains erreichen können, damit die Splash-Page funktioniert. Die Plattform von Purple hängt von eigenen CDN- und API-Endpunkten ab. Die Captive Portal-Erkennungssonden des Betriebssystems – captive.apple.com für iOS-Geräte, connectivitycheck.gstatic.com für Android und msftconnecttest.com für Windows – müssen alle auf die Whitelist gesetzt werden. Wenn Sie Social Login anbieten, fügen Sie accounts.google.com, oauth2.googleapis.com, apis.google.com und gstatic.com für Google hinzu. Fügen Sie www.facebook.com, graph.facebook.com, connect.facebook.net und die CDN-Domain fbcdn.net hinzu, wenn Sie Facebook-Login anbieten. Fügen Sie diese in SonicOS als FQDN-Adressobjekte unter "Object", "Match Objects", "Addresses" hinzu. Erstellen Sie dann Zugriffsregeln in der Gastzone, die es nicht authentifizierten Geräten ermöglichen, diese FQDNs zu erreichen. Verwenden Sie die dynamische DNS-Auflösung – SonicOS löst FQDN-Objekte in regelmäßigen Abständen auf – anstelle von statischen IP-Einträgen, die sich bei Änderungen der CDN-IP-Bereiche verschieben. Weiter geht es mit sicherem Mitarbeiter-WiFi mit 802.1X. Hier arbeiten SonicWave APs und der RADIUS-Server von Purple zusammen. Der SonicWave AP fungiert als Authentifikator im 802.1X-Austausch. Der Supplikant ist das Mitarbeitergerät. Der RADIUS-Server von Purple ist der Authentifizierungsserver. Die von Ihnen gewählte EAP-Methode hängt von Ihrem Identitätsanbieter ab. Wenn Sie Microsoft Entra ID oder Okta verwenden, ist PEAP-MSCHAPv2 die gängigste Wahl, da es mit Benutzernamen und Passwörtern funktioniert. Wenn Sie Gerätezertifikate bereitgestellt haben – was der empfohlene Ansatz für verwaltete Geräte ist –, verwenden Sie EAP-TLS. Navigieren Sie im Wireless Network Manager zu "Policies", "Policy Hierarchy", wählen Sie Ihre AP-Richtlinie aus und klicken Sie auf die Registerkarte "802.1X". Geben Sie die IP-Adresse des RADIUS-Servers von Purple ein – diese finden Sie in Ihrem Purple-Venue-Dashboard im Bereich für RADIUS-Einstellungen. Das Shared Secret wird von Purple generiert und muss auf beiden Seiten exakt übereinstimmen. Stellen Sie den Authentifizierungsport auf 1812 und den Accounting-Port auf 1813 ein. Wählen Sie für die EAP-Einstellungen die Methode aus, die der Konfiguration Ihres Identitätsanbieters entspricht. Erstellen Sie auf der Purple-Seite eine RADIUS-Richtlinie für die Mitarbeiter-Authentifizierung. Ordnen Sie die Mitarbeiter-SSID einem bestimmten VLAN zu – zum Beispiel VLAN 200 für Mitarbeiter. Der RADIUS-Server von Purple gibt die VLAN-Zuweisung über drei Standardattribute zurück: Tunnel-Type auf VLAN gesetzt, Tunnel-Medium-Type auf 802 gesetzt und Tunnel-Private-Group-ID auf die VLAN-ID als String gesetzt – also "200" für VLAN 200. Die SonicWall-Firewall und der SonicWave AP berücksichtigen diese Attribute und weisen das authentifizierte Mitarbeitergerät automatisch dem richtigen VLAN zu. Nun zum architektonisch interessantesten Anwendungsfall: PPSK und Multi-Tenant-Isolierung. Private Pre-Shared Keys ermöglichen es Ihnen, eine einzige SSID zu betreiben und jedem Mandanten, Bewohner oder jeder Benutzergruppe eine eindeutige Passphrase zuzuweisen. Wenn sich ein Gerät mit einem bestimmten PPSK verbindet, sendet der SonicWave AP diesen Schlüssel zur Validierung an den RADIUS-Server von Purple. Purple schlägt den Schlüssel nach, identifiziert den zugehörigen Mandanten oder die Benutzergruppe und gibt die entsprechende VLAN-Zuweisung über das Attribut Tunnel-Private-Group-ID zurück. Die SonicWall leitet dieses Gerät dann in das richtige VLAN – vollständig isoliert von anderen Mandanten auf derselben SSID. Das ist identitätsbasiertes Networking in der Praxis. Sie verwalten nicht SSIDs pro Mandant. Sie verwalten Identitäten pro Mandant. In einem gemischt genutzten Objekt mit zehn Einzelhandelsgeschäften wird eine einzige SSID im gesamten Gebäude ausgestrahlt. Jeder Mandant erhält seinen eigenen PPSK. Jeder PPSK wird einem dedizierten VLAN und Subnetz zugeordnet. Die Geräte von Mandant A sehen niemals den Datenverkehr von Mandant B, obwohl sie dieselben physischen Access Points nutzen. Die PPSK-Konfiguration in SonicOS erfordert den RADIUS-basierten PPSK-Modus auf der SSID. Bearbeiten Sie im Wireless Network Manager die SSID, stellen Sie den Sicherheitsmodus auf WPA2-Enterprise mit PPSK ein und verweisen Sie mit dem RADIUS-Server auf Purple. Purple verwaltet die PPSK-zu-VLAN-Zuordnungstabelle zentral. Wenn Sie einen neuen Mandanten hinzufügen, erstellen Sie einen neuen PPSK in Purple, weisen ihm ein VLAN zu, und die Änderung wird auf alle SonicWave APs an diesem Standort übertragen, ohne dass die Firewall-Konfiguration angepasst werden muss. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approximately 2 minutes) Lassen Sie mich Ihnen die drei Dinge nennen, die bei SonicWall- und Purple-Bereitstellungen am häufigsten schiefgehen. Erstens: der LHM-Port. TCP 4043 muss vom WAN zur WAN-Schnittstelle der SonicWall geöffnet sein. Wenn Ihr ISP oder Ihre vorgeschaltete Firewall diesen Port blockiert, wird der LHM-Autorisierungs-Handshake nie abgeschlossen, und Gäste bleiben nach der Authentifizierung auf der Splash-Page hängen. Sie sehen eine erfolgreiche Anmeldung auf der Purple-Seite, aber die SonicWall erhält nie das Autorisierungssignal. Testen Sie dies vor der Inbetriebnahme mit einem Telnet- oder Curl-Check auf Port 4043 von einer externen IP-Adresse aus. Zweitens: das Timing der FQDN-Objektauflösung. SonicOS löst FQDN-Adressobjekte beim Booten und danach in einem konfigurierbaren Intervall auf. Wenn Sie eine neue Walled-Garden-Domain hinzufügen und die Auflösung noch nicht aktualisiert wurde, können nicht authentifizierte Geräte diese nicht erreichen. Erzwingen Sie nach dem Hinzufügen neuer FQDN-Objekte eine manuelle Aktualisierung oder stellen Sie das DNS-Aktualisierungsintervall in Umgebungen mit hohem Datenverkehr auf 60 Sekunden ein. Drittens: Konfiguration der VLAN-Subschnittstellen. Die dynamische VLAN-Zuweisung via RADIUS funktioniert nur, wenn die Ziel-VLANs vor der ersten Geräte-Authentifizierung als Subschnittstellen auf der SonicWall existieren. Wenn eine RADIUS-Antwort die Tunnel-Private-Group-ID 110 zurückgibt, aber das VLAN 110 nicht als Subschnittstelle auf der SonicWall existiert, wird das Gerät entweder getrennt oder fällt auf das Standard-VLAN zurück. Erstellen und testen Sie alle VLAN-Subschnittstellen, bevor Sie die RADIUS-VLAN-Zuweisung aktivieren. Für MSPs, die mehrere Standorte verwalten, ermöglicht das Cloud-Dashboard von Purple die zentrale Verwaltung von RADIUS-Richtlinien, PPSK-Tabellen und Splash-Page-Konfigurationen. Sie können Konfigurationsänderungen von einer einzigen Benutzeroberfläche aus an alle Standorte übertragen. Das ist der betriebliche Vorteil eines Cloud-Overlay-Ansatzes – die SonicWall-Hardware bleibt vor Ort, und Purple übernimmt die Identitäts- und Richtlinienebene darüber. --- SEGMENT 4: SCHNELLE FRAGEN & ANTWORTEN (ca. 1 Minute) Einige Fragen, die regelmäßig auftauchen. "Kann ich SonicWave APs im Standalone-Modus mit Purple verwenden?" Ja, aber Sie verlieren einige Funktionen. Im Standalone-Modus verwalten SonicWave APs ihre RADIUS-Konfiguration lokal. Sie können sie weiterhin auf den RADIUS-Server von Purple für 802.1X ausrichten. Für PPSK mit dynamischer VLAN-Zuweisung benötigen Sie jedoch die SonicWall TZ als RADIUS-Proxy oder den Wireless Network Manager, der die AP-Richtlinie zentral verwaltet. "Unterstützt Purple WPA3 auf SonicWave?" Die WPA3-Unterstützung auf SonicWave hängt von der Firmware-Version und dem AP-Modell ab. APs der SonicWave 600-Serie unterstützen WPA3. Für Captive Portal-Anwendungsfälle ist WPA3 mit Opportunistic Wireless Encryption mit dem LHM-Redirect-Flow von Purple kompatibel. Testen Sie dies jedoch auf Ihrer spezifischen Firmware-Version, bevor Sie es im großen Stil bereitstellen. "Wie handhabt Purple die GDPR für Gästedaten, die über die Splash-Page erfasst werden?" Purple ist ISO 27001-zertifiziert, GDPR-konform und Cyber Essentials-zertifiziert. Die Einwilligung wird auf der Splash-Page mit konfigurierbaren Opt-in-Kontrollkästchen erfasst. Purple speichert First-Party-Daten gemäß Ihrer Datenaufbewahrungsrichtlinie. Gäste können über das Self-Service-Portal von Purple auf ihre Daten zugreifen und diese löschen. "Welche RADIUS-Attribute gibt Purple für die dynamische VLAN-Zuweisung zurück?" Drei Attribute: Tunnel-Type mit dem Wert VLAN, Tunnel-Medium-Type mit dem Wert 802 und Tunnel-Private-Group-ID mit der VLAN-ID als String. Dies sind die Standard-RFC 2868-Attribute, die von SonicOS und SonicWave unterstützt werden. --- SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE (ca. 1 Minute) Zusammenfassend lässt sich sagen: SonicWall TZ Firewalls und SonicWave APs lassen sich über zwei primäre Mechanismen mit Purple integrieren: LHM für die Weiterleitung zum Captive Portal für Gäste und RADIUS für die 802.1X-Mitarbeiterauthentifizierung sowie die PPSK-basierte Mandantenisolierung. Die wichtigsten Konfigurationsschritte sind: Aktivieren Sie die externe Gäste-Authentifizierung in der Gäste-Zone, konfigurieren Sie die Purple-Portal-URL auf Port 4043, erstellen Sie Ihre Walled-Garden-FQDN-Objekte, konfigurieren Sie RADIUS in der SonicWave-AP-Richtlinie im Wireless Network Manager und erstellen Sie Ihre VLAN-Subschnittstellen auf der SonicWall, bevor Sie die dynamische VLAN-Zuweisung aktivieren. Für Multi-Tenant-Bereitstellungen ist PPSK mit RADIUS-basiertem VLAN-Steering die zu verwendende Architektur. Eine SSID, ein Satz von APs, vollständige Mandantenisolierung durch identitätsbasierte VLAN-Zuweisung. Wenn Sie eine Bereitstellung planen oder eine bestehende überprüfen, kann das technische Team von Purple standortspezifische RADIUS-Konfigurationsdateien und Walled-Garden-Domain-Listen bereitstellen. Die Purple-Plattform unterstützt 80.000 Live-Standorte und hat im Jahr 2024 bereits 440 Millionen Logins verarbeitet – die heute vorgestellten Integrationsmuster haben sich im großen Maßstab bewährt. Vielen Dank fürs Zuhören. Der vollständige schriftliche Leitfaden mit Schritt-für-Schritt-Konfigurationstabellen und Mermaid-Architekturdiagrammen ist auf der Purple-Website verfügbar. --- ENDE DES SKRIPTS

header_image.png

Executive Summary

Die Integration der SonicWall-Netzwerkinfrastruktur mit dem Cloud-Overlay von Purple bietet eine Zugriffskontrolle auf Enterprise-Niveau in Kombination mit einer hochentwickelten Erfassung von First-Party-Daten. Dieser Leitfaden behandelt die technische Implementierung von vier verschiedenen Anwendungsfällen: Guest WiFi mit Captive Portal-Weiterleitung, Walled Garden-Ausnahmen, sicheres Mitarbeiter-WiFi über 802.1X und Multi-Tenant-Isolierung mithilfe von SonicWall Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Steuerung.

Wir verarbeiten jährlich 440 Millionen Logins an über 80.000 Live-Standorten. Die unten beschriebene Architektur hat sich im großen Stil im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor bewährt. Sie ermöglicht es Ihnen, Ihre bestehende SonicWall-Hardware beizubehalten und gleichzeitig das Identitätsmanagement, das Hosting von Splash Pages und die RADIUS-Authentifizierung in die Purple-Cloud auszulagern.

Technische Vertiefung

Die Integration basiert auf zwei primären Mechanismen: Lightweight Hotspot Messaging (LHM) für die Captive Portal-Weiterleitung und RADIUS für die 802.1X- und PPSK-Authentifizierung.

Captive Portal-Weiterleitung via LHM

SonicOS verwendet LHM, um externe Captive Portal-Weiterleitungen zu verarbeiten. Wenn ein nicht authentifiziertes Gastgerät versucht, auf das Internet zuzugreifen, fängt die SonicWall TZ-Firewall die HTTP-Anfrage ab und leitet den Client auf die von Purple gehostete Splash Page weiter. Der Gast schließt den Authentifizierungsfluss ab (z. B. Social Login, Ausfüllen eines Formulars). Purple sendet dann ein LHM-Autorisierungspaket über den TCP-Port 4043 an die SonicWall zurück. Nach Erhalt dieses Pakets aktualisiert die SonicWall ihre interne Zugriffskontrollliste und erlaubt der MAC-Adresse des Geräts den Zugriff auf das Internet.

architecture_overview.png

Walled Garden-Architektur

Vor der Authentifizierung wird das Gastgerät in einer eingeschränkten Zone gehalten. Der Walled Garden ist die spezifische Gruppe von Fully Qualified Domain Names (FQDNs), auf die das Gerät zugreifen darf, um die Splash Page darzustellen und den Anmeldevorgang abzuschließen. Dazu gehören das CDN von Purple (cdn.purple.ai), die Authentifizierungs-API (api.purple.ai) und die Domains, die von Drittanbietern von Identitätsdiensten wie Google Workspace, Microsoft Entra ID und Meta benötigt werden.

SonicOS implementiert Walled Gardens mithilfe von FQDN-Adressobjekten. Die Firewall führt eine dynamische DNS-Auflösung für diese Objekte durch und aktualisiert die zulässigen IP-Bereiche automatisch. Dies ist von entscheidender Bedeutung, da Identitätsanbieter und CDNs eine dynamische IP-Zuweisung verwenden; statische IP-Whitelists werden unweigerlich fehlschlagen.

Sicheres Mitarbeiter-WiFi und 802.1X

Für Mitarbeiternetzwerke fungieren SonicWave APs als 802.1X-Authentifikator und leiten Anfragen per Proxy an den RADIUS-Server von Purple weiter. Wir empfehlen EAP-TLS für verwaltete Geräte mit Zertifikaten oder PEAP-MSCHAPv2 für die Authentifizierung mit Benutzername/Passwort gegenüber Verzeichnissen wie Microsoft Entra ID. Nach erfolgreicher Authentifizierung gibt Purple standardmäßige RADIUS-Attribute (Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID) zurück, um das Gerät dynamisch dem richtigen Mitarbeiter-VLAN zuzuweisen.

Mandantenfähige Isolation mit PPSK

Identity-Based Networks machen komplexe Multi-SSID-Bereitstellungen überflüssig. Mit SonicWall PPSK wird eine einzige SSID (z. B. „Multi-Tenant-WiFi“) im gesamten Standort ausgestrahlt. Jeder Mandant erhält eine eindeutige Passphrase. Wenn sich ein Gerät mit einem bestimmten PPSK verbindet, validiert der SonicWave AP den Schlüssel gegenüber dem RADIUS-Server von Purple. Purple identifiziert den Mandanten und gibt die zugehörige VLAN-ID zurück. Die SonicWall leitet den Datenverkehr dann in das isolierte Mandanten-VLAN.

ppsk_vlan_diagram.png

Implementierungsleitfaden

1. Konfiguration des SonicWall Captive Portal (LHM)

So konfigurieren Sie das externe Captive Portal auf einer SonicWall TZ-Serie mit SonicOS 7.x:

  1. Navigieren Sie zu Object > Match Objects > Zones. Bearbeiten Sie die Zone, die Ihrem Gastnetzwerk zugewiesen ist (z. B. WLAN).
  2. Aktivieren Sie auf der Registerkarte Guest Services die Optionen Enable Guest Services und External Guest Authentication.
  3. Navigieren Sie zu Configure > Guest Services > General.
  4. Stellen Sie das Client Redirect Protocol auf HTTP ein.
  5. Stellen Sie die Web Server-Adresse auf portal.purple.ai ein.
  6. Stellen Sie den Port auf 4043 ein.
  7. Stellen Sie auf der Registerkarte Auth Pages die Login URL auf die spezifische Splash-Page-URL ein, die in Ihrem Purple-Standort-Dashboard bereitgestellt wird.
  8. Speichern Sie die Konfiguration. SonicOS generiert automatisch eine NAT-Richtlinie und eine WAN-zu-WAN-Zugriffsregel, um den TCP-Port 4043 zuzulassen. Ändern Sie diese automatisch generierten Regeln nicht.

2. Erstellung des Walled Garden

Erstellen Sie FQDN-Adressobjekte für die erforderlichen Domänen und fügen Sie diese einer Adressgruppe hinzu. Wenden Sie diese Gruppe auf eine Zulassungsregel in Ihrer Gastzone an.

Erforderliche Purple-Domänen:

  • *.purple.ai
  • *.purpleportal.net

OS Captive Portal Probes:

  • captive.apple.com (iOS/macOS)
  • connectivitycheck.gstatic.com (Android)
  • msftconnecttest.com (Windows)

Häufige Social-Login-Domänen (Google):

  • accounts.google.com
  • oauth2.googleapis.com
  • apis.google.com
  • *.gstatic.com

3. Konfiguration von RADIUS für SonicWave APs

So integrieren Sie SonicWave APs mit Purple RADIUS über den Wireless Network Manager:

  1. Navigieren Sie zu Policies > Policy Hierarchy und wählen Sie Ihre AP-Richtlinie aus.
  2. Wählen Sie die Registerkarte 802.1X.
  3. Geben Sie die IP-Adresse des Purple RADIUS-Servers ein (zu finden in Ihrem Purple-Dashboard).
  4. Geben Sie das von Purple generierte Shared Secret ein.
  5. Stellen Sie den Authentication Port auf 1812 und den Accounting Port auf 1813 ein.
  6. Wählen Sie die entsprechende EAP-Methode basierend auf Ihrem Identity Provider aus.

4. Konfiguration von Dynamic VLAN Steering

Stellen Sie sicher, dass die Ziel-VLANs als Sub-Schnittstellen auf der SonicWall TZ-Firewall existieren, bevor Sie die dynamische Zuweisung aktivieren.

Ordnen Sie im Purple-Dashboard die Benutzergruppe oder den PPSK der Ziel-VLAN-ID zu. Purple gibt nach erfolgreicher Authentifizierung die folgenden Attribute zurück:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = 802 (6)
  • Tunnel-Private-Group-ID = [VLAN ID] (z. B. "110")

Best Practices

  • LHM-Port-Sichtbarkeit testen: Der TCP-Port 4043 muss aus dem Internet für die SonicWall WAN-Schnittstelle erreichbar sein. Testen Sie dies vor dem Go-Live mit einem externen Portscanner. Wenn der ISP diesen Port blockiert, wird das Autorisierungspaket verworfen und Gäste bleiben auf der Splash-Page hängen.
  • VLAN-Sub-Schnittstellen vorab bereitstellen: Dynamic VLAN Steering schlägt geräuschlos fehl, wenn die Ziel-VLAN-Sub-Schnittstelle vor dem Authentifizierungsereignis nicht auf der SonicWall konfiguriert ist. Das Gerät fällt dann auf das standardmäßige ungetaggte VLAN zurück.
  • Webbasiertes OAuth erzwingen: Stellen Sie sicher, dass Ihre Splash-Page-Konfiguration webbasierte OAuth-Flows erzwingt. Deep-Linking zu nativen Social-Media-Apps (wie der Facebook-iOS-App) unterbricht oft die Captive Portal-Sequenz, da der Datenverkehr der nativen App durch den Walled Garden blockiert wird.
  • DNS-Aktualisierungsintervalle optimieren: SonicOS löst FQDN-Objekte periodisch auf. In Umgebungen mit hoher Fluktuation wie Stadien oder Verkehrsknotenpunkten sollten Sie das DNS-Aktualisierungsintervall für Walled-Garden-Objekte auf 60 Sekunden festlegen, um sicherzustellen, dass CDN-IP-Änderungen präzise nachverfolgt werden.

Fehlerbehebung & Risikominderung

Symptom: Der Gast schließt die Anmeldung auf der Splash-Page ab, hat aber keinen Internetzugang. Ursache: Das LHM-Autorisierungspaket auf TCP 4043 erreicht die SonicWall nicht. Lösung: Überprüfen Sie, ob die automatisch generierte WAN-zu-WAN-Zugriffsregel existiert. Überprüfen Sie vorgeschaltete ISP-Router auf Port-Blockierungen. Stellen Sie sicher, dass die SonicWall WAN-IP im Purple-Dashboard korrekt registriert ist.

Symptom: Die Splash-Page wird nicht geladen oder Social-Login-Buttons geben CORS-Fehler zurück. Ursache: Unvollständige Walled-Garden-Konfiguration. Lösung: Verbinden Sie ein Testgerät im unauthentifizierten Zustand. Verwenden Sie die Entwicklertools des Browsers (Registerkarte "Netzwerk"), um blockierte HTTPS-Anfragen zu identifizieren. Fügen Sie die fehlerhaften Domänen als FQDN-Adressobjekte in SonicOS hinzu.

Symptom: Mitarbeitergeräte authentifizieren sich über 802.1X, erhalten jedoch eine IP-Adresse aus dem Standard-VLAN anstelle des zugewiesenen VLANs. Ursache: Die Ziel-VLAN-Sub-Schnittstelle existiert nicht auf der SonicWall oder die RADIUS-Attribute sind fehlerhaft. Lösung: Überprüfen Sie, ob die VLAN-Sub-Schnittstelle aktiv ist. Überprüfen Sie die Purple RADIUS-Protokolle, um zu bestätigen, dass Tunnel-Private-Group-ID als String-Wert gesendet wird, der mit der VLAN-ID übereinstimmt.

ROI & geschäftlicher Nutzen

Die Bereitstellung einer SonicWall-Infrastruktur mit Purple verwandelt eine standardmäßige Netzwerk-Kostenstelle in ein messbares Unternehmens-Asset.

Für eine Einzelhandelskette mit 200 Standorten führt der Wechsel von generischen Pre-Shared Keys zu einem gebrandeten Captive Portal in der Regel zu einer Steigerung der bekannten Kundenprofile um 40 % innerhalb von sechs Monaten. Diese First-Party-Daten lassen sich direkt in CRM-Systeme integrieren, was zielgerichtete Marketingkampagnen fördert und die Zahl der wiederkehrenden Besucher erhöht.

In mandantenfähigen Umgebungen wie Coworking Spaces oder Studentenwohnheimen eliminiert PPSK mit dynamischer VLAN-Steuerung den betrieblichen Aufwand für die Verwaltung dedizierter Hardware pro Mandant. Sie stellen ein einziges physisches Netzwerk bereit und segmentieren es logisch über die Identität. Dies reduziert die Investitionsausgaben für Hardware um bis zu 60 % und gewährleistet gleichzeitig eine strikte, ISO 27001-konforme Netzwerktrennung.

Schlüsseldefinitionen

Lightweight Hotspot Messaging (LHM)

Ein von SonicWall verwendetes Protokoll zur Kommunikation mit externen Captive Portals. Es wickelt den Redirect- und Autorisierungs-Handshake ab.

Erforderlich für die Integration von SonicOS mit Cloud-verwalteten Gäste-WiFi-Plattformen wie Purple.

Walled Garden

Eine bestimmte Auswahl an Domains oder IP-Adressen, auf die nicht authentifizierte Geräte zugreifen dürfen.

Entscheidend dafür, dass Gastgeräte die Splash-Page laden, auf CDNs zugreifen und Social-Login-OAuth-Flows abschließen können, bevor sie vollen Internetzugang erhalten.

Private Pre-Shared Key (PPSK)

Eine Sicherheitsmethode, bei der mehrere eindeutige Passphrasen auf einer einzigen SSID gültig sind, wobei jede Passphrase an einen bestimmten Benutzer oder eine Richtlinie gebunden ist.

Wird in mandantenfähigen Umgebungen verwendet, um den Datenverkehr zu isolieren, ohne mehrere SSIDs auszustrahlen.

Captive Network Assistant (CNA)

Der integrierte OS-Mechanismus (unter iOS, Android, Windows), der ein Captive Portal erkennt und automatisch ein eingeschränktes Browserfenster zur Authentifizierung öffnet.

Wenn die OS-Probe-Domains (z. B. captive.apple.com) nicht im Walled Garden enthalten sind, wird der CNA nicht ausgelöst und Gäste denken, das WiFi sei defekt.

Dynamic VLAN Steering

Der Prozess der Zuweisung eines Geräts zu einem bestimmten VLAN basierend auf seiner Identität oder seinen Anmeldedaten und nicht auf der SSID, mit der es verbunden ist.

Wird von Purple RADIUS verwaltet, das das Attribut Tunnel-Private-Group-ID an die SonicWall zurückgibt.

FQDN Address Object

Ein Firewall-Objekt, das auf einem Fully Qualified Domain Name und nicht auf einer statischen IP-Adresse basiert.

SonicOS löst diese Objekte dynamisch auf, was sie für robuste Walled-Garden-Konfigurationen unerlässlich macht.

Identity-Based Network

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien und Segmentierung basierend auf dem authentifizierten Benutzer oder Gerät angewendet werden, anstatt auf physischen Ports oder SSIDs.

Erreicht durch die Kombination von Purple RADIUS mit SonicWall PPSK und 802.1X.

Tunnel-Private-Group-ID

Das standardmäßige RFC 2868 RADIUS-Attribut, das zur Angabe der VLAN-ID für ein verbindendes Gerät verwendet wird.

Muss von Purple als String-Wert (z. B. '100') zurückgegeben werden, um die SonicWall anzuweisen, das Gerät zu steuern.

Ausgearbeitete Beispiele

Ein Hotel mit 150 Zimmern (Premier Inn) möchte kostenloses Guest WiFi über eine Splash-Page sowie ein sicheres Staff-WiFi-Netzwerk für Geräte des Housekeepings bereitstellen. Vor Ort sind eine SonicWall TZ570 und 40 SonicWave APs im Einsatz. Wie sollte dieser Datenverkehr segmentiert werden?

Richten Sie zwei SSIDs ein. SSID 1: "Guest-WiFi", zugewiesen zu VLAN 100. Konfigurieren Sie die SonicWall WLAN-Zone für externe Gäste-Authentifizierung (External Guest Authentication) mit Verweis auf portal.purple.ai über TCP 4043. Konfigurieren Sie die Walled-Garden-FQDNs für Purple und Social Logins. SSID 2: "Staff-WiFi", zugewiesen zu VLAN 200 mittels 802.1X. Verweisen Sie die SonicWave AP-Richtlinie auf den RADIUS-Server von Purple. Konfigurieren Sie Purple so, dass Housekeeping-Geräte über MAC-Address-Bypass (MAB) oder PEAP-MSCHAPv2 authentifiziert werden und die Tunnel-Private-Group-ID "200" zurückgegeben wird.

Kommentar des Prüfers: Dieser Ansatz trennt den nicht vertrauenswürdigen Gäste-Datenverkehr strikt von den operativen Systemen. Die Nutzung von Purple sowohl für das Captive Portal als auch für die RADIUS-Authentifizierung zentralisiert das Identitätsmanagement. MAB eignet sich hervorragend für bildschirmlos arbeitende Geräte (wie Reinigungswagen), während 802.1X die Smartphones der Mitarbeiter absichert.

Ein Coworking-Space verwaltet 15 verschiedene Unternehmen, die sich ein Großraumbüro teilen. Sie möchten für jedes Unternehmen sichere, isolierte Netzwerke bereitstellen, ohne 15 verschiedene SSIDs über ihre SonicWave APs auszustrahlen.

Richten Sie eine einzige SSID namens "Workspace-Secure" unter Verwendung von WPA2-Enterprise mit PPSK ein. Erstellen Sie 15 VLAN-Sub-Interfaces auf der SonicWall TZ Firewall (z. B. VLANs 101-115). Generieren Sie im Purple-Dashboard für jedes Unternehmen einen eindeutigen PPSK und weisen Sie diesen der jeweiligen VLAN-ID zu. Wenn sich ein Benutzer mit dem PPSK seines Unternehmens verbindet, gibt der Purple RADIUS-Server die entsprechende Tunnel-Private-Group-ID zurück, und die SonicWall leitet das Gerät in das isolierte VLAN weiter.

Kommentar des Prüfers: Dieses identitätsbasierte Netzwerkdesign (Identity-Based Network) lässt sich sauber skalieren. Das Ausstrahlen von 15 SSIDs würde zu einem enormen Overhead bei den Management-Frames führen und die WiFi-Leistung beeinträchtigen. PPSK bietet die Sicherheit individueller Zugangsdaten und die Isolation dedizierter VLANs ohne die HF-Einbußen mehrerer SSIDs.

Übungsfragen

Q1. Sie haben die SonicWall-Gastzone für die externe Gastauthentifizierung konfiguriert und den Webserver auf portal.purple.ai eingestellt. Gäste werden zur Splash-Page weitergeleitet und können sich erfolgreich anmelden, erhalten aber nie Internetzugang. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie daran, wie Purple der SonicWall mitteilt, dass die Authentifizierung erfolgreich war.

Musterlösung anzeigen

Das LHM-Autorisierungspaket wird blockiert. Der TCP-Port 4043 muss auf der SonicWall-WAN-Schnittstelle geöffnet sein, um das Erfolgssignal von Purple zu empfangen. Überprüfen Sie vorgeschaltete Firewalls oder ISP-Konfigurationen auf Port-Blockierungen.

Q2. Ein Veranstaltungsort möchte einen Facebook-Login auf seiner Splash-Page anbieten. Sie fügen www.facebook.com zur FQDN-Adressgruppe des Walled Gardens hinzu. Gäste berichten, dass die Facebook-Login-Seite geladen wird, aber das Design fehlerhaft ist und der Login-Button nicht funktioniert.

Hinweis: Moderne Webanwendungen laden Assets von mehreren Domains.

Musterlösung anzeigen

Der Walled Garden ist unvollständig. Sie müssen auch die Domains auf die Whitelist setzen, die die CSS-, JavaScript- und API-Aufrufe von Facebook bereitstellen, insbesondere graph.facebook.com, connect.facebook.net und die CDN-Domain (z. B. *.fbcdn.net).

Q3. Sie stellen PPSK für ein Büro mit mehreren Mietern bereit. Sie konfigurieren die SSID für WPA2-Enterprise mit PPSK und verweisen den RADIUS-Server auf Purple. Sie erstellen einen PPSK in Purple, der dem VLAN 50 zugeordnet ist. Wenn sich ein Benutzer mit diesem PPSK verbindet, erhält er stattdessen eine IP-Adresse aus dem VLAN 10. Warum?

Hinweis: Die SonicWall muss wissen, wohin sie den Datenverkehr senden soll, bevor die RADIUS-Anfrage abgeschlossen ist.

Musterlösung anzeigen

VLAN 50 wurde nicht als Sub-Schnittstelle auf der SonicWall TZ-Firewall erstellt. Die dynamische VLAN-Steuerung erfordert, dass das Ziel-VLAN zuvor auf der Firewall vorhanden ist; ist dies nicht der Fall, fällt das Gerät auf das standardmäßige ungetaggte VLAN zurück (in diesem Fall VLAN 10).

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →