Zum Hauptinhalt springen
Deutsch

Sophos Firewall und Access Points Integration mit Purple WiFi

Dieser Leitfaden beschreibt die technische Integration von Sophos Firewall (XG/XGS) und Sophos AP6/APX Access Points mit Purple WiFi. Er umfasst die externe Captive Portal Weiterleitung, die Konfiguration von RADIUS-Authentifizierung und -Accounting, die Einrichtung des Walled Garden, 802.1X für Mitarbeiter-WiFi sowie die dynamische VLAN-Zuweisung mittels Sophos PPSK für eine sichere mandantenfähige Netzwerktrennung in der Hotellerie, im Einzelhandel und in öffentlichen Einrichtungen.

📖 9 Min. Lesezeit📝 2,208 Wörter🔧 2 ausgearbeitete Beispiele4 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Purple Architecture Briefing. Heute befassen wir uns mit einer entscheidenden Integration für Unternehmensnetzwerke: der Bereitstellung von Purple WiFi in Kombination mit einer Sophos-Infrastruktur, insbesondere Sophos AP6 und APX Access Points sowie Sophos XG und XGS Firewalls. Wenn Sie IT-Manager, Netzwerkarchitekt oder CTO sind und einen Standort verwalten – sei es eine Einzelhandelskette, ein Stadion oder ein Krankenhaus –, liefert Ihnen diese Session den praktischen Entwurf, um diese beiden leistungsstarken Plattformen nahtlos miteinander zu verbinden. Betrachten wir zunächst den Kontext. Sophos ist bekannt für seine robuste Sicherheitsarchitektur. Sophos Firewall-Appliances bieten Deep Packet Inspection und synchronisierte Sicherheit. Wenn es jedoch um Guest WiFi geht, wollen Sie nicht nur Sicherheit. Sie wollen geschäftlichen Mehrwert. Sie möchten demografische Daten erfassen, das Besucherverhalten verstehen und den Marketing-ROI steigern. Genau hier kommt Purple ins Spiel. Durch die Integration von Purple als externes Captive Portal verlagern Sie die komplexe Verwaltung von Gäste-Identitäten, die GDPR-Einwilligung und Social Logins auf die Cloud-RADIUS-Infrastruktur von Purple, während die Sophos Firewall das tut, was sie am besten kann: den Perimeter sichern. Wie funktioniert das nun genau unter der Haube? Gehen wir ins technische Detail. Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitungen. Wenn sich ein Besucher am Standort mit Ihrer offenen Guest-WiFi-SSID verbindet, die vom Sophos AP ausgestrahlt wird, fängt die Sophos Firewall diese erste Webanfrage ab. Anstatt eine einfache, lokal gespeicherte Portalseite anzuzeigen, leitet die Firewall den Client auf die in der Cloud gehostete Splash Page von Purple weiter. Hier kommt das entscheidende Konzept ins Spiel: der Walled Garden. In dieser Phase vor der Authentifizierung hat der Benutzer noch keinen Internetzugang. Er muss jedoch die Portalgrafiken laden und eventuell Facebook oder Google aufrufen, um sich anzumelden. Der Walled Garden ist eine strikte Whitelist (Allowlist), die auf der Sophos Firewall konfiguriert ist und den Datenverkehr zu diesen spezifischen Domains zulässt. Sobald sich der Benutzer authentifiziert, sendet die Plattform von Purple eine RADIUS-Access-Accept-Nachricht zurück an die Sophos Firewall. Die Firewall schaltet daraufhin um, ändert den Sitzungsstatus auf "authentifiziert" und leitet den Benutzer in Ihre Firewall-Richtlinie nach der Authentifizierung weiter. Lassen Sie uns die RADIUS-Konfiguration genauer betrachten, denn hier kommt es auf Präzision an. Purple stellt Ihnen zwei Sätze von RADIUS-Anmeldedaten zur Verfügung: einen für die Authentifizierung auf Port 1812 und einen für das Accounting auf Port 1813. Beide müssen konfiguriert werden. Der Accounting-Server ist nicht optional. Über diesen Mechanismus meldet die Sophos Firewall Sitzungsdaten wie Dauer, verbrauchte Bandbreite und Sitzungsbeendigungen an Purple zurück. Ohne präzise Accounting-Daten zeigt Ihr Purple-Analytics-Dashboard unvollständige oder ungenaue Besucherkennzahlen an. Stellen Sie Ihr Accounting-Intervall (Interim Interval) auf 120 Sekunden ein. Dies bietet ein ausgewogenes Verhältnis zwischen Echtzeit-Sichtbarkeit und Netzwerk-Overhead. Sprechen wir nun über ein Szenario, das bei Enterprise-Bereitstellungen ständig vorkommt: Multi-Tenant WiFi. Denken Sie an einen Coworking-Space, einen Build-to-Rent-Wohnblock oder ein Studentenwohnheim. Sie haben mehrere unterschiedliche Benutzergruppen, die alle WiFi-Zugang benötigen, aber auf Netzwerkebene vollständig voneinander isoliert sein müssen. Das Ausstrahlen einer separaten SSID für jeden Mieter ist nicht praktikabel. Dies führt zu einer Überlastung der Funkfrequenzen und ist administrativ ein Albtraum. Die Lösung sind Sophos Private Pre-Shared Keys (PPSK) in Kombination mit dynamischer VLAN-Zuweisung. Und so funktioniert es: Sie konfigurieren eine einzige SSID auf Ihren Sophos AP6 Access Points. Anschließend weisen Sie jedem Mieter oder jeder Benutzergruppe ein eindeutiges Passwort zu. Wenn sich ein Gerät verbindet und seinen eindeutigen Schlüssel eingibt, authentifiziert der Sophos AP diesen Schlüssel über RADIUS. Der RADIUS-Server gibt im Access-Accept-Paket ein bestimmtes VLAN-ID-Attribut zurück. Der AP versieht den Datenverkehr des Benutzers dynamisch mit dieser VLAN-ID und leitet ihn in sein dediziertes Netzwerksegment weiter. Identitätsbasiertes Networking in der Praxis: Eine SSID, mehrere isolierte Netzwerke, null Funkfrequenz-Overhead durch zusätzliche Ausstrahlungen. Diese Architektur bietet zudem einen erheblichen Compliance-Vorteil. Gemäß den PCI-DSS-Anforderungen muss ein Guest WiFi vollständig von allen Netzwerksegmenten isoliert sein, die Karteninhaberdaten verarbeiten. Indem Sie die Guest-SSID in ein dediziertes VLAN legen und auf der Sophos Firewall strenge Firewall-Richtlinien zur Blockierung aller privaten RFC-1918-IP-Bereiche einrichten, erfüllen Sie diese Anforderung sauber. Purple, das in 80.000 Live-Standorten im Einsatz ist und im Jahr 2024 bereits 440 Millionen Logins verarbeitet hat, ist ISO-27001-zertifiziert, GDPR-konform und Cyber-Essentials-zertifiziert, sodass sich die Compliance-Sicherheit auch auf die Identitätsebene erstreckt. Kommen wir nun zu den Empfehlungen für die Implementierung. Bei der Einrichtung müssen Sie eine wichtige Entscheidung bezüglich der IP-Zuweisung treffen: NAT-Modus versus Bridge-Modus. Wenn Sie eine kleine Einzelhandelsfiliale mit vielleicht fünfzig bis einhundert gleichzeitigen Gastverbindungen ausstatten, ist der NAT-Modus völlig ausreichend. Der Sophos AP vergibt DHCP-Adressen an Gäste aus einem dedizierten internen Subnetz und übersetzt diese beim Verlassen des Datenverkehrs. Das ist einfach und erfordert nur minimale zusätzliche Infrastruktur. Wenn Sie jedoch eine Umgebung mit hoher Dichte bereitstellen – beispielsweise ein Hotel mit fünfhundert Zimmern, ein Konferenzzentrum mit mehreren parallelen Veranstaltungen oder ein Stadion –, müssen Sie den Bridge-Modus verwenden. Im Bridge-Modus leitet der Sophos AP den Gast-Datenverkehr direkt in ein dediziertes VLAN weiter, sodass Ihre zentralen Enterprise-DHCP-Server die Last bewältigen können. Dies verhindert, dass der Access Point oder die Firewall bei Spitzenlastzeiten zum DHCP-Engpass wird. Der Bridge-Modus stellt außerdem sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse sieht, was für präzise Analysen und die Fehlerbehebung unerlässlich ist. Sprechen wir über die schrittweise Konfigurationsreihenfolge, denn die Reihenfolge ist hier entscheidend. Starten Sie im Purple-Portal. Rufen Sie Ihre RADIUS-Server-Anmeldedaten ab: die Server-IP-Adressen, Shared Secrets, die Captive Portal-URL und die Redirect-URL. Dies sind die vier entscheidenden Informationen, die Sie benötigen, bevor Sie mit der Sophos-Konfiguration beginnen. Wechseln Sie anschließend zu Sophos Central oder Ihrer lokalen Firewall-Verwaltungsoberfläche. Definieren Sie zuerst Ihre RADIUS-Server, Authentifizierung auf Port 1812, Accounting auf Port 1813. Konfigurieren Sie dann Ihren Walled Garden unter den Hotspot-Einstellungen. Erstellen Sie als Nächstes Ihre Gäste-SSID, stellen Sie die Verschlüsselung auf „Open“, aktivieren Sie das Captive Portal und geben Sie die Purple-Portal-URL ein. Definieren Sie schließlich Ihre Firewall-Regeln nach der Authentifizierung. Speziell für den Walled Garden müssen Sie mindestens die folgenden Domains zulassen: die Purple-Portal-Domain, in der Regel region1.purpleportal.net; venuewifi.com; sowie alle Social-Login-Domains, die Ihre Gäste verwenden werden, wie facebook.com, accounts.google.com und die zugehörigen CDN-Domains. Wenn Sie Microsoft Entra ID oder Okta für die Identitätsföderation nutzen, müssen diese Domains ebenfalls einbezogen werden. Was ist mit Fallstricken? Wo laufen Implementierungen normalerweise schief? Das Problem Nummer eins ist ohne Frage ein unvollständiger Walled Garden. Wenn sich ein Gast verbindet und einen leeren Bildschirm oder ein Verbindungs-Timeout erhält, bedeutet dies fast immer, dass die Sophos Firewall den Zugriff auf die CSS-Dateien, JavaScript-Assets von Purple oder die Social-Login-APIs vor der Authentifizierung blockiert. Sie müssen sicherstellen, dass jede erforderliche Domain in dieser Pre-Authentifizierungsrichtlinie explizit erlaubt ist. Purple stellt eine umfassende Liste der erforderlichen Domains zur Verfügung. Nutzen Sie diese vollständig. Vergessen Sie auch DNS nicht. Nicht authentifizierten Clients muss es gestattet sein, DNS-Anfragen aufzulösen, da die Weiterleitung sonst schlichtweg nicht funktioniert. Das Gerät muss den Hostnamen des Purple-Portals auflösen können, bevor es überhaupt versuchen kann, die Seite zu laden. Der zweithäufigste Fallstrick sind Zertifikatsfehler. Stellen Sie sicher, dass Ihre Sophos Firewall ein gültiges, öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle bereitstellt. Wenn Sie das standardmäßige selbstsignierte Zertifikat verwenden, zeigen moderne iPhones und Android-Geräte erhebliche Sicherheitswarnungen an, und Ihre Gäste werden die Verbindung komplett abbrechen. Dies ist ein besonders akutes Problem im Gastgewerbe, wo das Gästeerlebnis an erster Stelle steht. Der dritte Fallstrick sind RADIUS-Timeout-Fehler. Wenn das Portal geladen wird, aber die Authentifizierung konsequent fehlschlägt, überprüfen Sie, ob die Shared Secrets zwischen Ihrer Sophos-Konfiguration und dem Purple-Portal exakt übereinstimmen. Selbst ein Unterschied von einem einzigen Zeichen führt dazu, dass alle Authentifizierungsversuche geräuschlos fehlschlagen. Stellen Sie außerdem sicher, dass keine zwischengeschaltete Firewall die UDP-Ports 1812 und 1813 zwischen Ihrer Sophos-Infrastruktur und den Cloud-RADIUS-Servern von Purple blockiert. Lassen Sie uns mit einer schnellen Fragerunde abschließen, die auf den häufigsten Fragen unserer Kunden basiert. Frage eins: Umgeht die Nutzung von Purple meine Sophos Firewall-Sicherheitsrichtlinien? Absolut nicht. Purple übernimmt die Authentifizierung und die Identitätserfassung. Nach der Authentifizierung fließt der gesamte Gast-Traffic durch die Post-Authentifizierungsrichtlinie Ihrer Sophos Firewall. Genau hier wenden Sie Web-Filterung an, blockieren Peer-to-Peer-Traffic und steuern die Bandbreite. Stellen Sie es sich so vor: Die Pre-Authentifizierung ist durchlässig, um die Anmeldung zu ermöglichen; die Post-Authentifizierung ist restriktiv, um das Netzwerk zu schützen. Frage zwei: Muss ich lokale RADIUS-Server bereitstellen? Nein. Purple bietet RADIUS-as-a-Service. Sie konfigurieren die Sophos APs so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweisen. Es ist nicht erforderlich, FreeRADIUS oder Windows NPS für das Gastnetzwerk bereitzustellen und zu warten. Frage drei: Kann ich Purple sowohl mit Sophos AP6 als auch mit der älteren APX-Serie nutzen? Ja. Der Integrationsansatz ist über beide Hardware-Generationen hinweg konsistent. Beachten Sie jedoch, dass Sophos das End-of-Life-Datum für die APX-Serie für den 31. Dezember 2027 angekündigt hat. Wenn Sie eine neue Bereitstellung planen, investieren Sie in die AP6-Serie, die Wi-Fi 6 und Wi-Fi 6E unterstützt. Frage vier: Wie sieht es mit der GDPR-Konformität aus? Purple erfasst die ausdrückliche Zustimmung auf Portal-Ebene und präsentiert Ihre Allgemeinen Geschäftsbedingungen sowie Datenschutzhinweise vor der Authentifizierung. Diese Einwilligungsdaten werden auf der Purple-Plattform gespeichert und sind auditierbar. Die Rolle der Sophos Firewall beschränkt sich rein auf die Netzwerkdurchsetzung. Zusammenfassend die wichtigsten Erkenntnisse aus dem heutigen Briefing: Erstens: Trennen Sie Ihre Mitarbeiter- und Gäste-SSIDs absolut voneinander. Mitarbeiter über 802.1X mit WPA2-Enterprise. Gäste über Purple mit einem externen Captive Portal. Zweitens: Konfigurieren Sie Ihren Walled Garden akribisch. Er ist die häufigste Fehlerquelle und das wichtigste Konfigurationselement vor der Authentifizierung. Drittens: Verwenden Sie den Bridge-Modus für alle High-Density-Bereitstellungen, um DHCP-Engpässe zu vermeiden und eine genaue Sichtbarkeit der Client-IPs zu gewährleisten. Viertens: Konfigurieren Sie sowohl RADIUS-Authentifizierungs- als auch Accounting-Server. Accounting ist nicht optional, wenn Sie aussagekräftige Analysen wünschen. Fünftens: Nutzen Sie Sophos PPSK für Multi-Tenant-Umgebungen, um Identity-Based Networking mit dynamischer VLAN-Zuweisung zu ermöglichen. Eine SSID, mehrere isolierte Netzwerke. Sechstens: Wenden Sie Sophos-Sicherheitsrichtlinien strikt nach der Authentifizierung an. Web-Filterung, Anwendungssteuerung und Bandbreiten-Shaping sollten alle in der Post-Authentifizierungs-Firewall-Richtlinie angewendet werden. Durch die korrekte Umsetzung dieser Integration verwandeln Sie Ihr Gast-WiFi von einem Kostenfaktor in ein konformes, sicheres und umsatzgenerierendes Asset. Die Kombination aus der tiefgehenden Sicherheit von Sophos und der Marketing-Intelligence von Purple ist für jeden Standortbetreiber, der seine Customer Experience und Datenstrategie ernst nehmen möchte, absolut zukunftsweisend. Vielen Dank für Ihr Interesse am Purple Architecture Briefing. Wenn Sie Ihre spezifischen Bereitstellungsanforderungen besprechen möchten, besuchen Sie purple.ai, um mit dem Solutions-Team zu sprechen.

header_image.png

Executive Summary

Wenn Sie eine Sophos-Infrastruktur betreiben und ein Guest WiFi bereitstellen müssen, das First-Party-Daten erfasst, liefert Ihnen dieser Leitfaden die genauen Konfigurationsschritte. Purple lässt sich in Sophos Firewall (XG- und XGS-Serie) und Sophos AP6/APX Access Points als externes Captive Portal integrieren. Dabei werden das Identitätsmanagement für Gäste, die Erfassung von GDPR-Einwilligungen und das Social Login an die Cloud-RADIUS-Plattform von Purple ausgelagert. Ihre Sophos Firewall führt weiterhin Deep Packet Inspection und Unified Threat Management für den gesamten Datenverkehr durch. Das Ergebnis: ein konformes, segmentiertes Netzwerk, in dem sich Gäste über eine gebrandete Purple-Splash-Page authentifizieren, Mitarbeiter sich über 802.1X mit WPA2-Enterprise verbinden und Multi-Tenant-Umgebungen Sophos Private Pre-Shared Keys (PPSK) für die dynamische VLAN-Zuweisung nutzen. Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Daten von Purple, 2024). Es ist ISO 27001-zertifiziert, GDPR-konform und Cyber Essentials-zertifiziert.

Technischer Deep-Dive

So funktioniert die Weiterleitung

Die Integration nutzt Standard-RADIUS-Protokolle und HTTP-Weiterleitungen. Wenn sich ein Besucher am Standort mit Ihrer offenen Guest WiFi SSID auf einem Sophos AP6 oder APX Access Point verbindet, fängt die Sophos Firewall die erste HTTP-Anfrage dieses nicht authentifizierten Geräts ab. Anstatt eine lokal gespeicherte Login-Seite bereitzustellen, gibt die Firewall einen 302-Redirect an die in der Cloud gehostete Splash-Page-URL von Purple aus – typischerweise im Format https://region1.purpleportal.net/access/.

Während dieser Pre-Authentication-Phase befindet sich das Gerät in einem Walled Garden: einer strengen Whitelist von Domains, die nicht authentifizierte Geräte erreichen können. Diese Whitelist muss die Portal-Assets von Purple, alle Social-Login-Anbieter (Facebook, Google, LinkedIn) und alle von Ihnen genutzten Identity-Federation-Endpunkte wie Microsoft Entra ID oder Okta enthalten. Sobald der Benutzer die Authentifizierung auf der Purple-Splash-Page abgeschlossen hat, sendet der Cloud-RADIUS von Purple eine RADIUS-Access-Accept-Nachricht an die Sophos Firewall. Die Firewall aktualisiert den Sitzungsstatus auf authentifiziert und wendet Ihre Sicherheitsrichtlinie für die Phase nach der Authentifizierung an.

RADIUS-Authentifizierung und -Accounting

Purple bietet RADIUS-as-a-Service. Sie müssen kein FreeRADIUS, Windows NPS oder eine andere lokale RADIUS-Infrastruktur für das Gästenetzwerk bereitstellen. Konfigurieren Sie die Sophos Firewall so, dass sie direkt auf die Cloud-RADIUS-IP-Adressen von Purple verweist.

Zwei RADIUS-Funktionen sind erforderlich:

Funktion Protokoll Port Zweck
Authentifizierung UDP 1812 Validiert die Anmeldedaten der Gäste und gibt Access-Accept oder Access-Reject zurück
Accounting UDP 1813 Meldet Sitzungsstart, Zwischen-Updates und Sitzungsstopp an Purple

Accounting ist nicht optional. Es ist der Mechanismus, mit dem die Sophos Firewall Sitzungsdauer, verbrauchte Bandbreite und Sitzungsbeendigungsereignisse an Purple zurückmeldet. Ohne Accounting-Daten zeigt Ihr WiFi Analytics -Dashboard unvollständige Besucher-Metriken an. Stellen Sie das Accounting-Intervall (Interim Interval) auf 120 Sekunden ein, um ein ausgewogenes Verhältnis zwischen Echtzeit-Sichtbarkeit und Netzwerk-Overhead zu gewährleisten.

Das gemeinsame RADIUS-Geheimnis (Shared Secret) muss zwischen Ihrer Sophos-Konfiguration und dem Purple-Portal exakt übereinstimmen. Bereits ein Unterschied von einem einzigen Zeichen führt zu unbemerkt fehlschlagenden Authentifizierungen.

Walled Garden Konfiguration

Der Walled Garden ist das wichtigste Konfigurationselement vor der Authentifizierung und die häufigste Fehlerquelle bei Bereitstellungen. Konfigurieren Sie diesen unter Wireless > Hotspot-Einstellungen auf der Sophos Firewall.

Sie müssen mindestens die folgenden Domains zulassen:

Kategorie Zuzulassende Domains
Purple Core region1.purpleportal.net, venuewifi.com, cloudfront.net
Zahlung (falls zutreffend) stripe.com
Wetter-Widget (falls verwendet) openweathermap.org
Facebook-Login facebook.com, fbcdn.net, connect.facebook.net, akamaihd.net
Google-Login accounts.google.com, googleapis.com, gstatic.com
LinkedIn-Login linkedin.com, licdn.net, licdn.com
Microsoft Entra ID login.microsoftonline.com, login.microsoft.com

Lassen Sie für nicht authentifizierte Clients immer die DNS-Auflösung (UDP-Port 53) zu. Ohne DNS können Geräte den Hostnamen des Purple-Portals nicht auflösen, und die Weiterleitung schlägt fehl, noch bevor sie beginnt.

802.1X für Mitarbeiter-WiFi

Verwenden Sie für das Mitarbeiter-WiFi 802.1X (IEEE 802.1X portbasierte Netzwerkzugriffskontrolle) mit WPA2-Enterprise oder WPA3-Enterprise. Konfigurieren Sie den Sophos AP so, dass er EAP-TLS (zertifikatsbasiert) oder PEAP-MSCHAPv2 (Benutzername/Passwort) gegenüber Ihrem internen RADIUS-Server oder einem Cloud-Identitätsanbieter wie Microsoft Entra ID verwendet.

Der RADIUS-Server gibt VLAN-Zuweisungsattribute zurück, um authentifizierte Mitarbeitergeräte im richtigen internen VLAN zu platzieren. Dies ist derselbe dynamische VLAN-Mechanismus, der unten für PPSK beschrieben wird, angewendet auf die Enterprise-Authentifizierung.

Halten Sie die Mitarbeiter-WiFi SSID und das VLAN vollständig von der Guest-WiFi SSID und dem VLAN getrennt. Leiten Sie Gast-Traffic niemals per Bridge in die Management- oder Unternehmens-Subnetze weiter. Diese Trennung ist eine PCI-DSS-Anforderung, falls ein Netzwerksegment Karteninhaberdaten verarbeitet.

Sophos PPSK und dynamische VLAN-Zuweisung für Multi-Tenant-Umgebungen

In Multi-Tenant-Umgebungen – wie Coworking-Spaces, Build-to-Rent-Wohnblöcken, Studentenwohnheimen oder Einzelhandelskonzessionen – müssen Sie verschiedene Benutzergruppen auf Netzwerkebene isolieren, ohne für jeden Mandanten eine eigene SSID auszustrahlen. Das Ausstrahlen mehrerer SSIDs erhöht den Hochfrequenz-Overhead und erschwert die Verwaltung.

Sophos AP6 Access Points unterstützen PPSK (Private Pre-Shared Key), auch bekannt als Identity PSK oder Per-User PSK. PPSK ermöglicht es einer einzelnen SSID, mehrere eindeutige Passphrasen zu akzeptieren, die jeweils über RADIUS-Attribute einem bestimmten VLAN zugewiesen werden.

Der Ablauf der dynamischen VLAN-Zuweisung funktioniert wie folgt:

  1. Ein Bewohner oder Mitglied verbindet sich mit der einzelnen gemeinsam genutzten SSID und gibt seinen eindeutigen PPSK ein.
  2. Der Sophos AP sendet einen RADIUS Access-Request an den konfigurierten RADIUS-Server, der den PPSK als Anmeldedaten enthält.
  3. Der RADIUS-Server validiert den PPSK und gibt ein Access-Accept mit den folgenden VLAN-Attributen zurück:
    • Tunnel-Type = VLAN (Wert 13)
    • Tunnel-Medium-Type = IEEE-802 (Wert 6)
    • Tunnel-Private-Group-ID = `` (z. B. 100)
  4. Der Sophos AP kennzeichnet den Datenverkehr des Geräts mit der zurückgegebenen VLAN-ID und leitet ihn in das korrekte isolierte Netzwerksegment.

Das ist Identity-Based Networking: eine SSID, mehrere isolierte VLANs, gesteuert durch die eindeutigen Anmeldedaten des Benutzers.

ppsk_vlan_diagram.png

architecture_overview.png

Implementierungsleitfaden

Schritt 1: Purple-Anmeldedaten abrufen

Melden Sie sich im Purple-Portal an. Navigieren Sie zu Management > Locations > [Ihr Standort] > Hardware > Add Hardware. Wählen Sie Sophos als Hardwaretyp aus. Das Portal zeigt Folgendes an:

  • Primäre und sekundäre RADIUS-Server-IP-Adressen
  • RADIUS Shared Secret
  • Captive Portal-URL (z. B. https://region1.purpleportal.net/access/)
  • Redirect-URL (z. B. https://region1.purpleportal.net/access/?res=success)
  • Vollständige Walled-Garden-Domainliste

Notieren Sie sich alle vier Werte, bevor Sie fortfahren.

Schritt 2: RADIUS-Server auf der Sophos Firewall konfigurieren

Navigieren Sie auf der Sophos Firewall zu Authentication > Servers (oder zu Sophos Central > Wireless > SSIDs > [SSID] > Advanced Settings bei AP-verwalteten Konfigurationen).

  1. Klicken Sie auf Add, um einen neuen RADIUS-Server-Eintrag zu erstellen.
  2. Setzen Sie die Server IP auf die primäre Purple RADIUS-IP-Adresse.
  3. Setzen Sie den Authentication port auf 1812.
  4. Setzen Sie den Accounting port auf 1813.
  5. Geben Sie das Shared secret aus dem Purple-Portal ein.
  6. Wiederholen Sie den Vorgang für den sekundären Purple RADIUS-Server.

Für Sophos AP6, die über Sophos Central verwaltet werden, konfigurieren Sie den RADIUS-Server im Bereich Advanced Settings > Backend authentication der SSID.

Schritt 3: Walled Garden konfigurieren

Navigieren Sie auf der Sophos Firewall zu Wireless > Hotspot Settings.

  1. Klicken Sie unter Walled garden auf Add new item.
  2. Fügen Sie jede Domain aus der von Purple bereitgestellten Liste hinzu.
  3. Stellen Sie sicher, dass DNS (UDP-Port 53) für nicht authentifizierte Clients über eine Pre-Authentication-Firewall-Regel zugelassen ist.
  4. Klicken Sie auf Apply.

Schritt 4: Gäste-SSID erstellen

Navigieren Sie zu Wireless > Wireless Settings > SSIDs (oder Sophos Central > Wireless > SSIDs).

  1. Klicken Sie auf Add SSID.
  2. Stellen Sie den Encryption mode auf Open (kein Pre-Shared Key).
  3. Aktivieren Sie unter Advanced Settings > Captive portal das Captive Portal.
  4. Wählen Sie Backend authentication als Authentifizierungstyp.
  5. Geben Sie die Purple RADIUS-Server-IP, den Port 1812 und das Shared Secret ein.
  6. Setzen Sie die Redirect URL auf die Purple Splash-Page-URL.
  7. Weisen Sie die SSID einem dedizierten Gäste-VLAN zu (z. B. VLAN 100).
  8. Aktivieren Sie Client isolation, um Datenverkehr zwischen Gästen zu verhindern.

Schritt 5: Firewall-Regeln nach der Authentifizierung erstellen

Navigieren Sie zu Rules and policies > Firewall rules.

  1. Erstellen Sie eine Regel, die den Datenverkehr vom Gäste-VLAN zur WAN-Zone zulässt.
  2. Wenden Sie Web-Filtering an, um schädliche Kategorien zu blockieren.
  3. Wenden Sie Traffic Shaping an, um die Bandbreite pro Benutzer zu begrenzen (empfohlen: 10 Mbps Downstream, 5 Mbps Upstream für Gästenetzwerke).
  4. Blockieren Sie explizit den gesamten Datenverkehr vom Gäste-VLAN zu allen internen VLANs, die POS-Systeme, PMS oder Unternehmensressourcen enthalten.

Schritt 6: PPSK für Multi-Tenant-Umgebungen konfigurieren (optional)

  1. Erstellen Sie in Sophos Central eine WPA2-Personal SSID.
  2. Aktivieren Sie RADIUS VLAN assignment in den erweiterten Einstellungen der SSID.
  3. Konfigurieren Sie den RADIUS-Server so, dass er PPSK-Anmeldedaten akzeptiert und die entsprechenden VLAN-Attribute pro Benutzergruppe zurückgibt.
  4. Weisen Sie jeder Mandantengruppe über das Purple-Portal oder Ihre RADIUS-Verwaltungsschnittstelle eindeutige PPSKs zu.

Best Practices

Trennen Sie den Datenverkehr auf Layer 2 und Layer 3. Platzieren Sie Guest WiFi immer in einem dedizierten VLAN. Erstellen Sie explizite Firewall-Regeln, um den gesamten Datenverkehr vom Gäste-VLAN zum RFC-1918-Adressraum auf internen Segmenten zu blockieren. Dies erfüllt die Anforderungen zur Netzwerksegmentierung gemäß PCI DSS und verhindert laterale Bewegungen, falls ein Gästegerät kompromittiert wird.

Verwenden Sie den Bridge-Modus für High-Density-Bereitstellungen. In Umgebungen mit mehr als 200 gleichzeitigen Gästeverbindungen – wie Hotels, Stadien, Konferenzzentren – konfigurieren Sie die Gäste-SSID im Bridge-Modus. Dadurch wird der Datenverkehr an ein VLAN übergeben, das von Enterprise-DHCP-Servern verwaltet wird, was verhindert, dass der Sophos AP oder die Firewall zu einem DHCP-Engpass wird. Ein Hotel mit 500 Zimmern bei 70 % Auslastung und zwei Geräten pro Gast generiert gleichzeitig etwa 700 DHCP-Leases. Enterprise-DHCP bewältigt dies; das integrierte AP-DHCP nicht.

Verwenden Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat. Konfigurieren Sie die Sophos Firewall so, dass sie für die Weiterleitungsschnittstelle ein von einer öffentlichen CA signiertes Zertifikat bereitstellt. Selbstsignierte Zertifikate erzeugen Sicherheitswarnungen im Browser unter iOS und Android, was die Absprungrate beim Portal erhöht. Dies ist besonders wichtig in Hotellerie -Umgebungen, in denen das Gästeerlebnis die Bewertungsergebnisse direkt beeinflusst. Konfigurieren Sie sowohl RADIUS-Authentifizierung als auch -Accounting. Die Authentifizierung (Port 1812) gewährt Zugriff. Das Accounting (Port 1813) erfasst die Nutzung. Beide sind erforderlich, damit die Analysen von Purple korrekt funktionieren. Accounting-Daten steuern Metriken zur Sitzungsdauer, Bandbreitenberichte und die Identifizierung wiederkehrender Besucher im Purple-Dashboard.

Planen Sie Ihren Walled Garden vor dem Go-Live. Testen Sie das Portal auf mindestens einem iOS- und einem Android-Gerät, bevor Sie es in der Produktionsumgebung bereitstellen. Die beiden Plattformen verfügen über unterschiedliche Mechanismen zur Erkennung von Captive Portals und verhalten sich bei unvollständigen Walled-Garden-Konfigurationen möglicherweise unterschiedlich. Nutzen Sie eine Paketerfassung auf der Sophos Firewall, um blockierte Domains während der Pre-Authentifizierungsphase zu identifizieren.

Wenden Sie Sophos Synchronized Security nach der Authentifizierung an. Sophos AP6 Access Points unterstützen Synchronized Security, das sich in Sophos Endpoint Protection integrieren lässt. Wenn ein Gastgerät als kompromittiert eingestuft wird (roter Security Heartbeat-Status), kann der AP dieses Gerät automatisch auf den Walled Garden beschränken und es ohne manuelles Eingreifen vom Internet isolieren. Dies ist eine wichtige Sicherheitsmaßnahme für Gesundheitswesen und Einzelhandel Umgebungen.

Weitere Informationen zur WiFi-Sicherheit in Unternehmen finden Sie in unserem Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

Fehlerbehebung und Risikominderung

Symptom: Portalseite lädt nicht (leerer Bildschirm oder Timeout) Ursache: Unvollständiger Walled Garden. Die Sophos Firewall blockiert vor der Authentifizierung den Zugriff auf die CSS/JS-Ressourcen von Purple oder auf Social-Login-APIs. Lösung: Aktivieren Sie die Paketerfassung auf der Sophos Firewall für das Gäste-VLAN. Identifizieren Sie blockierte Domains. Fügen Sie diese dem Walled Garden hinzu. Stellen Sie sicher, dass DNS vor der Authentifizierung zulässig ist.

Symptom: Portal lädt, aber die Authentifizierung schlägt immer fehl Ursache: Der gemeinsame RADIUS-Schlüssel (Shared Secret) stimmt nicht überein oder die UDP-Ports 1812/1813 sind blockiert. Lösung: Überprüfen Sie das Shared Secret Zeichen für Zeichen sowohl in der Sophos-Konfiguration als auch im Purple-Portal. Verwenden Sie nmap -sU -p 1812,1813 über die Sophos-CLI, um die UDP-Erreichbarkeit zu bestätigen.

Symptom: Analysen zeigen eine Sitzungsdauer von Null und keine Bandbreitendaten Ursache: RADIUS-Accounting ist nicht konfiguriert oder blockiert. Lösung: Stellen Sie sicher, dass der Accounting-Server auf Port 1813 mit dem korrekten Shared Secret konfiguriert ist. Überprüfen Sie, ob keine zwischengeschaltete ACL den ausgehenden UDP-Port 1813 blockiert.

Symptom: Zertifikatswarnung auf Gastgeräten Ursache: Die Sophos Firewall verwendet ein selbstsigniertes Zertifikat für die Weiterleitungsschnittstelle. Lösung: Laden Sie ein von einer öffentlichen CA (Let's Encrypt, DigiCert oder ähnlich) signiertes Zertifikat auf die Sophos Firewall hoch und weisen Sie es unter Wireless > Hotspot Settings als Zertifikat für die Anmeldeseite zu.

Symptom: PPSK-Benutzer landen im falschen VLAN Ursache: RADIUS-VLAN-Attribute sind nicht korrekt konfiguriert oder der Sophos AP akzeptiert keine dynamische VLAN-Zuweisung. Behebung: Überprüfen Sie, ob der RADIUS-Server Tunnel-Type = 13, Tunnel-Medium-Type = 6 und Tunnel-Private-Group-ID = zurückgibt. Bestätigen Sie, dass die RADIUS-VLAN-Zuweisung für die SSID in Sophos Central aktiviert ist.

ROI und geschäftlicher Nutzen

Die Bereitstellung von Purple auf einer Sophos-Infrastruktur verwandelt das Gäste-WiFi von einem Kostenfaktor in ein wertvolles Asset für First-Party-Daten. Der Business Case ist eindeutig.

Ein Hotel mit 200 Zimmern bei einer Auslastung von 70 % und einer durchschnittlichen Aufenthaltsdauer von 1,8 Nächten generiert über das bewusste Opt-in-Portal von Purple jährlich rund 50.000 verifizierte Gästeprofile. Jedes Profil enthält Name, E-Mail-Adresse, demografische Daten und die Besuchshistorie. Diese Daten fließen direkt in E-Mail-Marketingkampagnen ein und sorgen für messbare Steigerungen bei Direktbuchungen sowie beim Umsatz im Bereich Food & Beverage.

Für den Einzelhandel ermittelt die Analytics-Funktion von Purple die Verweildauer, die Häufigkeit von Wiederholungsbesuchen und die Stoßzeiten. Eine Einzelhandelskette mit 50 Standorten kann diese Daten nutzen, um die Personalplanung zu optimieren, den Zeitpunkt von Werbeaktionen anzupassen und den Einfluss von In-Store-Events auf die Besuchshäufigkeit zu messen.

Für den öffentlichen Sektor und Transportunternehmen bietet Purple prüfbare GDPR-Einwilligungsnachweise und unterstützt die Einhaltung der britischen NIS-Vorschriften (Network and Information Systems) für Betreiber kritischer Dienste.

Das SLA von Purple mit einer Betriebszeit von 99,999 % stellt sicher, dass der Dienst zur Gäste-Authentifizierung nicht zu einer Schwachstelle (Single Point of Failure) für Ihr Netzwerk wird. Dank der Cloud-RADIUS-Architektur muss kein lokaler Authentifizierungsserver gewartet, gepatcht oder ersetzt werden.

Weitere Integrationshinweise finden Sie im Leitfaden Alta Labs Integration mit Purple WiFi: Einrichtung und Konfiguration des Captive Portal .

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die die erste HTTP-Anfrage eines Benutzers abfängt und eine Interaktion (Authentifizierung, Zustimmung oder Zahlung) erfordert, bevor der Internetzugang gewährt wird.

Die primäre Schnittstelle für Guest WiFi. Purple hostet das Captive Portal in der Cloud; die Sophos Firewall leitet nicht authentifizierte Clients dorthin weiter.

Walled Garden

Eine strikte Freigabeliste (Allowlist) von Domains und IP-Adressen, auf die nicht authentifizierte Geräte zugreifen können, bevor sie die Portal-Authentifizierung abgeschlossen haben.

Muss die Portal-Domains von Purple, Social-Login-Anbieter und alle Identity-Federation-Endpunkte enthalten. Ein unvollständiger Walled Garden ist die häufigste Ursache für Fehler beim Laden des Portals.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Kontoführung für Benutzer bereitstellt, die sich mit einem Netzwerk verbinden. Verwendet UDP-Port 1812 für die Authentifizierung und 1813 für das Accounting.

Purple bietet RADIUS-as-a-Service. Die Sophos Firewall und APs kommunizieren mit dem Cloud-RADIUS von Purple, um Gäste zu authentifizieren und Sitzungsdaten zu melden.

RADIUS-Accounting

Die Komponente von RADIUS, die Metriken zur Netzwerknutzung erfasst, einschließlich Startzeit der Sitzung, Dauer, übertragene Bytes und Grund für die Beendigung der Sitzung.

Unerlässlich für die WiFi-Analytics von Purple. Ohne Accounting-Daten auf Port 1813 sind Sitzungsdauer und Bandbreitenmetriken im Purple-Dashboard nicht verfügbar.

PPSK (Private Pre-Shared Key)

Eine WiFi-Sicherheitsfunktion, die es einer einzelnen SSID ermöglicht, mehrere eindeutige Passphrasen zu akzeptieren, die in der Regel über RADIUS einem bestimmten VLAN oder einer Richtlinie zugeordnet sind.

Wird in Multi-Tenant-WiFi-Bereitstellungen verwendet, um eine Netzwerkisolierung pro Benutzer oder Gruppe bereitzustellen, ohne mehrere SSIDs auszustrahlen. Sophos AP6 unterstützt PPSK mit dynamischer VLAN-Zuweisung.

Dynamische VLAN-Zuweisung

Ein Prozess, bei dem der RADIUS-Server den Access Point anweist, einen authentifizierten Benutzer in ein bestimmtes VLAN zu verschieben, indem er die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID in der Access-Accept-Nachricht zurückgibt.

Ermöglicht identitätsbasierte Netzwerke. Benutzer werden basierend auf ihren Anmeldedaten dem richtigen Netzwerksegment zugewiesen, unabhängig davon, mit welchem physischen AP sie sich verbinden.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle. Bietet ein Authentifizierungs-Framework für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen, und erfordert einen Supplicant (Client), einen Authenticator (AP oder Switch) und einen Authentifizierungsserver (RADIUS).

Der Enterprise-Standard für Mitarbeiter-WiFi. Sophos AP6 unterstützt 802.1X mit WPA2-Enterprise und WPA3-Enterprise unter Verwendung von EAP-TLS oder PEAP-MSCHAPv2.

Bridge-Modus

Eine Netzwerkkonfiguration, bei der der Access Point den Datenverkehr von Wireless-Clients direkt als getaggte VLAN-Frames an das kabelgebundene LAN weiterleitet, ohne NAT oder lokales DHCP durchzuführen.

Empfohlen für Bereitstellungen mit hoher Dichte. Lagert DHCP an Enterprise-Server aus und stellt sicher, dass Purple die echte Client-IP-Adresse für präzise Analysen erhält.

First-Party-Daten

Informationen, die direkt von Benutzern über Ihre eigenen Kanäle gesammelt werden, in Ihrem Besitz sind und nicht mit Dritten geteilt oder von diesen bezogen werden.

Der primäre geschäftliche Nutzen von Purple Guest WiFi. Diese Daten werden durch bewusste Opt-ins am Captive Portal erfasst, sind GDPR-konform und unabhängig von Drittanbieter-Cookies.

Ausgearbeitete Beispiele

Ein Hotel mit 300 Zimmern hat Sophos AP6 Access Points im Einsatz, die über Sophos Central verwaltet werden. Gäste sollen sich über eine gebrandete Purple Landingpage authentifizieren. Zudem muss das Gästenetzwerk zur Einhaltung der PCI-DSS-Konformität vollständig vom Property Management System (PMS) auf VLAN 20 isoliert sein. Das Hotel erwartet in Spitzenzeiten bis zu 600 gleichzeitige Gastverbindungen.

  1. Erstellen Sie in Sophos Central eine dedizierte Gäste-SSID namens "Hotel Guest WiFi" mit offener Verschlüsselung. 2. Weisen Sie die SSID im Bridge-Modus dem VLAN 100 zu, um die DHCP-Last von 600 Geräten über den DHCP-Server des Kernnetzwerks abzuwickeln. 3. Aktivieren Sie das Captive Portal unter den erweiterten Einstellungen und wählen Sie die Backend-Authentifizierung. 4. Geben Sie die IP-Adresse des Purple RADIUS-Servers auf Port 1812 und das Shared Secret aus dem Purple-Portal ein. 5. Konfigurieren Sie den Walled Garden so, dass region1.purpleportal.net, venuewifi.com und alle Social-Login-Domains zugelassen sind. 6. Erstellen Sie auf der Sophos Firewall eine Firewall-Regel, die VLAN 100 den Zugriff auf die WAN-Zone mit angewendetem Web-Filtering erlaubt. 7. Erstellen Sie eine explizite DENY-Regel, die jeglichen Datenverkehr von VLAN 100 zu VLAN 20 (PMS-Netzwerk) blockiert. 8. Konfigurieren Sie das RADIUS-Accounting auf Port 1813 mit einem Intervall von 120 Sekunden. 9. Laden Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat für die Weiterleitungsschnittstelle auf die Sophos Firewall hoch. 10. Testen Sie die Einrichtung vor der Liveschaltung sowohl auf iOS als auch auf Android.
Kommentar des Prüfers: Der Bridge-Modus ist hier zwingend erforderlich. Bei 600 gleichzeitigen Verbindungen wäre der integrierte DHCP-Server des APs überlastet. Die explizite DENY-Regel von VLAN 100 zu VLAN 20 erfüllt die PCI-DSS-Anforderungen zur Netzwerktrennung. Das öffentlich vertrauenswürdige Zertifikat verhindert, dass unter iOS 14+ und Android 10+ Sicherheitswarnungen angezeigt werden, die zu einer höheren Absprungrate am Portal führen würden. Die Konfiguration des Accountings ist für die Funktion der Analysen von Purple zwingend erforderlich.

Ein Betreiber von Coworking-Spaces verwaltet 15 Mieterfirmen auf drei Etagen. Jedes Unternehmen benötigt ein eigenes, isoliertes Netzwerksegment. Derzeit werden 15 separate SSIDs ausgestrahlt, was zu erheblichen Funkkanal-Interferenzen führt. Es soll eine Konsolidierung auf eine einzige SSID unter Verwendung von Sophos AP6 Access Points erfolgen, während gleichzeitig eine strikte Layer-2-Isolierung zwischen den Mietern beibehalten wird.

  1. Weisen Sie jedem Mieterunternehmen ein eindeutiges VLAN zu (z. B. VLANs 200-214). 2. Erstellen Sie in Sophos Central eine einzelne WPA2-Personal-SSID namens "CoWork WiFi". 3. Aktivieren Sie die RADIUS-VLAN-Zuweisung für die SSID. 4. Konfigurieren Sie den RADIUS-Server (den Cloud-RADIUS von Purple oder ein integriertes Verzeichnis) so, dass ein eindeutiger PPSK pro Mieter gespeichert wird und bei der Authentifizierung die entsprechenden VLAN-Attribute zurückgegeben werden. 5. Übermitteln Sie jedem Mieterunternehmen seinen eindeutigen PPSK über das Purple-Portal. 6. Konfigurieren Sie auf der Sophos Firewall Inter-VLAN-Firewall-Regeln, um jeglichen Datenverkehr zwischen den Mieter-VLANs zu blockieren. Erlauben Sie jedem VLAN nur den Zugriff auf das Internet. 7. Für Mieter, die gemeinsam genutzte Dienste benötigen (z. B. einen gemeinsamen Drucker), erstellen Sie explizite Freigaberegeln nur für diese spezifischen Ressourcen.
Kommentar des Prüfers: Die Konsolidierung von 15 SSIDs auf eine einzige eliminiert den RF-Overhead von 15 Beacon-Frames pro AP und Sekunde. PPSK mit dynamischer VLAN-Zuweisung bietet auf Netzwerkebene dieselbe Isolierung wie separate SSIDs. Das Hauptrisiko liegt in der Verfügbarkeit des RADIUS-Servers: Wenn der RADIUS-Server nicht erreichbar ist, kann sich kein Mieter verbinden. Richten Sie einen sekundären Purple RADIUS-Server ein und konfigurieren Sie diesen in Sophos Central als Fallback, um dieses Risiko zu minimieren.

Übungsfragen

Q1. Eine Einzelhandelskette hat Sophos AP6 Access Points in 50 Filialen bereitgestellt. Kunden berichten, dass das Laden der Purple Splash-Page über 30 Sekunden dauert oder die Verbindung komplett abbricht. Das IT-Team hat bestätigt, dass die RADIUS-Authentifizierung korrekt konfiguriert ist. Was ist die wahrscheinlichste Ursache und wie beheben Sie diese?

Hinweis: Überlegen Sie, was passiert, bevor der Benutzer den Authentifizierungsschritt erreicht.

Musterlösung anzeigen

Der Walled Garden ist unvollständig. Die Sophos Firewall blockiert vor der Authentifizierung den Zugriff auf die CSS- und JavaScript-Ressourcen von Purple oder auf die CDN-Domains für Social Logins. Aktivieren Sie eine Paketerfassung auf der Sophos Firewall für das Gäste-VLAN und filtern Sie nach blockiertem Datenverkehr von nicht authentifizierten Clients. Identifizieren Sie die blockierten Domains und fügen Sie diese unter Wireless > Hotspot-Einstellungen zum Walled Garden hinzu. Stellen Sie außerdem sicher, dass DNS (UDP-Port 53) vor der Authentifizierung zugelassen ist. Ohne DNS-Auflösung kann das Gerät den Hostnamen des Purple-Portals nicht auflösen und die Weiterleitung schlägt sofort fehl.

Q2. Sie entwerfen eine Gäste-WiFi-Bereitstellung für ein Stadion mit 5.000 Sitzplätzen unter Verwendung von Sophos AP6 Access Points. Der Veranstaltungsort erwartet 4.000 gleichzeitige Fan-Verbindungen während der Events. Sollten Sie die Gäste-SSID im NAT-Modus oder im Bridge-Modus konfigurieren? Begründen Sie Ihre Entscheidung.

Hinweis: Berücksichtigen Sie die DHCP-Last, die durch 4.000 gleichzeitige Verbindungen entsteht.

Musterlösung anzeigen

Bridge-Modus. Bei 4.000 gleichzeitigen Verbindungen würde der NAT-Modus den integrierten DHCP-Server der Sophos APs oder die Firewall überlasten. Im Bridge-Modus leiten die APs den Gäste-Datenverkehr direkt an ein dediziertes VLAN weiter, und Enterprise-DHCP-Server übernehmen die IP-Adresszuweisung. Dies verhindert eine DHCP-Erschöpfung und stellt sicher, dass die Purple-Plattform die tatsächliche Client-IP-Adresse für präzise Analysen erhält. Der Bridge-Modus bietet zudem einen höheren Durchsatz als der NAT-Modus, was in einer Umgebung mit hoher Benutzerdichte wichtig ist. Konfigurieren Sie einen DHCP-Bereich im Kernnetzwerk mit ausreichend Adressen für die erwartete Spitzenlast plus einem Puffer von 20 %.

Q3. Ihr Purple Analytics-Dashboard zeigt die korrekte Anzahl an Logins an, aber alle Sitzungsdauern werden mit null Minuten gemeldet und die Bandbreitennutzung wird nicht erfasst. Das Gäste-Portal funktioniert ordnungsgemäß und Gäste können im Internet surfen. Welches Konfigurationselement fehlt?

Hinweis: Die Authentifizierung gewährt Zugriff. Was erfasst die Nutzung, nachdem der Zugriff gewährt wurde?

Musterlösung anzeigen

Das RADIUS-Accounting ist nicht konfiguriert oder wird blockiert. Die Authentifizierung auf Port 1812 gewährt Internetzugang, aber das Accounting auf Port 1813 ist der Mechanismus, der Sitzungsdauer und Bandbreitendaten an Purple zurückmeldet. Überprüfen Sie die Konfiguration der Sophos Firewall, um sicherzustellen, dass der Accounting-Server auf die Purple RADIUS-IP auf Port 1813 mit dem korrekten Shared Secret eingestellt ist. Verifizieren Sie anschließend, dass der UDP-Port 1813 nicht durch eine zwischengeschaltete ACL oder Firewall-Regel zwischen der Sophos Firewall und den Cloud-RADIUS-Servern von Purple blockiert wird. Nutzen Sie eine Paketerfassung, um zu bestätigen, dass Accounting-Pakete die Sophos Firewall verlassen und Antworten empfangen.

Q4. Ein Betreiber von Coworking-Spaces möchte Sophos PPSK nutzen, um jedem seiner 20 Mieterunternehmen ein isoliertes Netzwerksegment zuzuweisen. Nach der Konfiguration verbinden sich alle PPSK-Benutzer erfolgreich, landen jedoch alle im selben VLAN, unabhängig davon, welchen PPSK sie verwenden. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie daran, was der RADIUS-Server zurückgeben muss und was der AP akzeptieren muss.

Musterlösung anzeigen

Es gibt zwei wahrscheinliche Ursachen. Erstens gibt der RADIUS-Server in der Access-Accept-Nachricht nicht die korrekten VLAN-Attribute zurück. Stellen Sie sicher, dass der RADIUS-Server Tunnel-Type = 13 (VLAN), Tunnel-Medium-Type = 6 (IEEE-802) und Tunnel-Private-Group-ID = die korrekte VLAN-ID für jeden PPSK zurückgibt. Zweitens ist die RADIUS-VLAN-Zuweisung für die SSID in Sophos Central möglicherweise nicht aktiviert. Navigieren Sie zu den erweiterten Einstellungen der SSID und überprüfen Sie, ob die RADIUS-VLAN-Zuweisung aktiviert ist. Verwenden Sie ein RADIUS-Debug-Protokoll oder eine Paketerfassung, um die Access-Accept-Nachrichten zu untersuchen und zu bestätigen, dass die VLAN-Attribute vorhanden und korrekt formatiert sind.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →