Zum Hauptinhalt springen
Deutsch

TP-Link Omada und Purple WiFi für SMB-Bereitstellungen

Dieser maßgebliche Leitfaden bietet IT-Managern und Netzwerkarchitekten einen definitiven Entwurf für die Integration von TP-Link Omada Access Points mit der Cloud-RADIUS-Infrastruktur von Purple. Er behandelt das Architekturdesign, die schrittweise Konfiguration des Captive Portals, Walled Garden-Anforderungen und einen kommerziellen Vergleich mit UniFi für SMB-Bereitstellungen.

📖 6 Min. Lesezeit📝 1,477 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
TP-Link Omada und Purple WiFi für SMB-Bereitstellungen — Podcast-Skript Ungefähre Laufzeit: 10 Minuten | UK-englische Stimme | Beratender Briefing-Ton --- [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen. Wenn Sie die WiFi-Infrastruktur für ein kleines oder mittleres Unternehmen evaluieren — sei es ein Boutique-Hotel, eine Einzelhandelskette, ein Konferenzzentrum oder ein öffentlicher Veranstaltungsort —, ist dieses Briefing genau das Richtige für Sie. Hente befassen wir uns mit den TP-Link Omada Access Points, die in die Guest-WiFi-Plattform von Purple integriert sind. Konkret: Funktioniert es, wie wird es konfiguriert, wann ist es sinnvoller als UniFi und welche Einschränkungen müssen Sie kennen, bevor Sie sich festlegen. Ich werde mich kurz und praxisnah halten. Kein Drumherumgerede. Legen wir los. --- [TECHNISCHE TIEFENANALYSE — ca. 5 Minuten] Zuerst die wichtigste Nachricht vorweg: Ja, Purple unterstützt TP-Link Omada vollumfänglich. Es steht auf der offiziellen Liste der von Purple unterstützten Hardware, und es gibt einen dokumentierten Konfigurationspfad sowohl für Omada Controller v3 als auch für v4 plus. Wenn Sie die aktuelle Software ausführen — was Sie tun sollten —, arbeiten Sie mit v4 plus. Wie genau funktioniert nun die Integration? Purple nutzt ein externes RADIUS-Server-Modell in Kombination mit einem externen Web-Portal. Das ist der entscheidende architektonische Punkt. Der Omada-Controller übernimmt die Authentifizierung nicht selbst — er delegiert diese vollständig an die Cloud-RADIUS-Infrastruktur von Purple. Das ist eigentlich eine Stärke und keine Einschränkung, denn es bedeutet, dass Purple das gesamte Identitätsmanagement, die Datenerfassung, die GDPR-Konformität und die Analysen auf seiner Seite abwickelt, während Omada das tut, was es am besten kann: Funknetzverwaltung, Roaming und Netzwerksteuerung. Lassen Sie mich Sie durch die drei Konfigurationsschritte führen. Schritt eins sind die Wireless-Einstellungen. Sie erstellen eine neue SSID — nennen Sie sie Guest WiFi oder wie auch immer es zu Ihrem Branding passt. Sie aktivieren den Gastnetzwerk-Modus, stellen die Sicherheit auf "Keine" — da die Authentifizierung auf der Portal-Ebene und nicht auf der Wireless-Ebene erfolgt — und wenden Dual-Band über 2,4 und 5 Gigahertz an. Schritt zwei ist die Konfiguration des Captive Portals. Hier lebt die Integration. Auf der Registerkarte "Wireless Control" fügen Sie ein neues Portal hinzu und stellen den Authentifizierungstyp auf "Externer RADIUS-Server" ein. Anschließend geben Sie die RADIUS-Server-IP-Adresse und das Passwort von Purple ein, die Sie aus Ihrem Purple-Dashboard erhalten. Port 1812 für die Authentifizierung, Port 1813 für das Accounting. Sie stellen den Authentifizierungsmodus auf PAP ein, aktivieren RADIUS-Accounting mit einem Intervall für Zwischen-Updates von 120 Sekunden und, was ganz wichtig ist, Sie stellen die Portalanpassung auf "Externes Web-Portal" und fügen die Zugriffs-URL von Purple ein. Diese URL leitet den Gast auf die gebrandete Splash-Page von Purple weiter. Schritt drei ist der Walled Garden. Dies wird oft übersehen und ist der Punkt, an dem Implementierungen scheitern. Bevor sich ein Gast authentifiziert, muss sein Gerät in der Lage sein, die Server von Purple zu erreichen, um die Splash Page zu laden. Dies tun Sie, indem Sie die Domains von Purple zur Pre-Authentication Access List unter Access Control hinzufügen. Purple stellt eine veröffentlichte Liste dieser Domains zur Verfügung — Sie benötigen alle davon, nicht nur die offensichtlichen. Für Standorte, die noch weiter gehen wollen — insbesondere durch die Aktivierung der SecurePass- oder Passpoint-Funktionalität von Purple für eine nahtlose Wiederverbindung — gibt es einen zusätzlichen Konfigurationsschritt. Sie erstellen ein separates RADIUS-Profil, das auf die sicheren WiFi-Server von Purple verweist, erstellen eine WPA-Enterprise SSID namens PurpleConnex, aktivieren Hotspot 2.0 und konfigurieren den NAI-Bereich als securewifi.purple.ai mit EAP-TTLS-Authentifizierung. Dies ist der Weg zur passwortlosen, profilbasierten Wiederverbindung für wiederkehrende Gäste — keine Splash Page bei nachfolgenden Besuchen. Nun noch ein Wort zum Omada-Controller selbst. Sie haben drei Bereitstellungsoptionen: Software-Controller auf einem lokalen Server oder einer VM, die Hardware-Controller-Appliance OC200 oder OC300 oder die Omada Cloud — die gehostete Cloud-Management-Plattform von TP-Link, die kostenlos ist. Für die meisten KMU-Implementierungen ist die Cloud-Option die richtige Wahl. Sie eliminiert den Single Point of Failure eines lokalen Controllers und kostet nichts. Der einzige Grund für eine lokale Lösung sind strenge Anforderungen an die Datenresidenz oder eine unzuverlässige Internetverbindung am Standort. Ein wichtiger architektonischer Hinweis: Der Omada-Controller muss für die laufende Netzwerkverwaltung erreichbar bleiben, aber der RADIUS-Authentifizierungspfad verläuft direkt vom Access Point zu den Cloud-Servern von Purple. Wenn Ihr Controller also vorübergehend offline geht, bleiben bestehende authentifizierte Sitzungen aktiv — nur neue Authentifizierungen und Netzwerkänderungen sind davon betroffen. --- [OMADA VS UNIFI — Teil des technischen Deep-Dive] Lassen Sie uns die Frage Omada versus UniFi direkt ansprechen, da sie ständig gestellt wird. Die Hardwarekosten sind der offensichtlichste Unterschied. Omada Access Points sind durchweg 15 bis 30 Prozent günstiger als vergleichbare UniFi-Hardware. Ein WiFi 6 Decken-AP von Omada — zum Beispiel der EAP670 — kostet im Einzelhandel etwa 130 bis 150 US-Dollar. Das Äquivalent UniFi U6 Pro liegt bei 179 Dollar. Wenn Sie das auf 20 oder 30 Access Points in einem mittelgroßen Standort hochrechnen, sprechen wir von einem erheblichen Budgetunterschied. Das Cloud-Management ist ein weiteres Unterscheidungsmerkmal. Omada Cloud ist dauerhaft kostenlos. Das Cloud-Management von UniFi — UniFi Cloud — erfordert ein Abonnement für 29 US-Dollar pro Standort und Monat, oder Sie hosten die Network Application selbst. Für MSPs, die mehrere KMU-Standorte verwalten, summieren sich diese Abonnementkosten schnell.UniFi überzeugt vor allem durch die Reife seines Ökosystems und die Tiefe seiner Funktionen. UniFi bietet eine ausgereiftere Verwaltungsoberfläche, ein breiteres Hardware-Sortiment einschließlich Kameras und Zutrittskontrolle sowie eine größere Community, die Dokumentationen und Integrationen bereitstellt. Wenn Ihr Kunde bereits tief im UniFi-Ökosystem verwurzelt ist, gibt es keinen zwingenden Grund für eine Migration. Für eine neue Bereitstellung im KMU-Bereich (Greenfield), bei der das Budget im Vordergrund steht, ist Omada die richtige Wahl. Für einen Standort, der eine einheitliche Sicherheits- und Netzwerkplattform mit Kameras, Zutrittskontrolle und VoIP in einer einzigen Benutzeroberfläche benötigt, wird der Vorteil des UniFi-Ökosystems relevant. Die gute Nachricht: Purple funktioniert auf beiden Systemen gleichermaßen gut. Der Integrationspfad über RADIUS ist identisch. Ihre Investition in Purple ist also hardwareunabhängig. --- [EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG & STOLPERSTEINE — ca. 2 Minuten] Einige Dinge, die ich bei Bereitstellungen von Omada in Kombination mit Purple schiefgehen sehe. Das häufigste Problem ist ein unvollständiges Walled Garden. Wenn Sie nicht alle von Purple benötigten Domains auf die Whitelist setzen, sehen Gäste auf iOS-Geräten ein fehlerhaftes Captive Portal — der Captive Network Assistant auf iOS reagiert hier besonders empfindlich. Gleichen Sie die Konfiguration immer mit der von Purple veröffentlichten Walled-Garden-Liste ab und testen Sie sie mit einem iPhone, bevor Sie das Projekt freigeben. Der zweite Stolperstein ist die HTTPS-Weiterleitung. Lassen Sie diese deaktiviert. Der Portal-Flow von Purple erfordert eine HTTP-Weiterleitung, um die erste Verbindung abzufangen. Die Aktivierung der HTTPS-Weiterleitung auf dem Omada-Portal unterbricht die Weiterleitungskette der Splash-Page. Drittens: NAS-ID. Setzen Sie diese auf einen aussagekräftigen Wert — in der Regel den Namen des Standorts oder den SSID-Namen. Dieser Wert erscheint in den RADIUS-Accounting-Logs von Purple und erleichtert die Fehlerbehebung erheblich, wenn Sie feststellen müssen, von welchem Standort oder welcher SSID eine Sitzung ausging. Viertens: Intervall für temporäre Updates (Interim Update Interval). Stellen Sie dieses auf 120 Sekunden für das Standard-Captive Portal und auf 240 Sekunden für das SecurePass RADIUS-Profil ein. Dies steuert, wie häufig Sitzungsdaten an Purple gesendet werden. Ein zu langes Intervall führt zu einem Verlust an Detailgenauigkeit in den Analysen. Ein zu kurzes Intervall erzeugt unnötigen RADIUS-Datenverkehr. Schließlich: Erreichbarkeit des Controllers. Wenn Sie den Hardware-Controller OC200 vor Ort verwenden, stellen Sie sicher, dass er an eine USV angeschlossen ist. Ein Neustart des Controllers während der Hauptverkehrszeiten führt zwar nicht zum Abbruch bestehender Sitzungen, verhindert jedoch neue Authentifizierungen, bis er wieder hochgefahren ist. --- [SCHNELLE FRAGEN & ANTWORTEN — ca. 1 Minute] Funktioniert Purple mit TP-Link Omada? Ja. Eine vollständig unterstützte und dokumentierte Konfiguration ist verfügbar. Benötige ich einen kostenpflichtigen Purple-Tarif? Nein. Der Connect-Tarif ist kostenlos und unterstützt die vollständige RADIUS Captive Portal-Integration mit Omada. Sie erhalten gebrandete Splash-Pages, Netzwerk-Analysen und eine GDPR-konforme Datenverarbeitung zum Nulltarif. Kann ich mehrere SSIDs — eine für Gäste und eine für Mitarbeiter — auf derselben Omada-Bereitstellung betreiben? Ja. Erstellen Sie separate SSIDs: eine Gäste-SSID, die das externe RADIUS-Portal von Purple nutzt, und eine Mitarbeiter-SSID mit WPA2 oder WPA3-Enterprise, die über den SAML-Connector von Purple mit Ihrem Active Directory oder Entra ID abgeglichen wird. Wie viele gleichzeitige Benutzer unterstützen Omada APs maximal? Das hängt vom Modell ab. Der EAP670 unterstützt bis zu 574 gleichzeitige Clients. Für hochfrequentierte Veranstaltungsorte wie Konferenzzentren oder Stadien sollten Sie sich den EAP660 HD ansehen, der speziell für dichte Implementierungen entwickelt wurde. Ist die Integration PCI DSS-konform? Die Isolierung des Gastnetzwerks — erzwungen durch den Guest Network-Modus von Omada — kombiniert mit der GDPR-konformen Datenverarbeitung von Purple bietet Ihnen eine solide Compliance-Basis. Für den vollständigen PCI DSS-Umfang müssen Sie sicherstellen, dass das Gast-VLAN ordnungsgemäß von allen Umgebungen mit Karteninhaberdaten segmentiert ist. --- [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Zusammenfassend: TP-Link Omada und Purple ist eine hervorragend unterstützte, kostengünstige Kombination für Guest WiFi-Implementierungen im KMU-Bereich. Der Hardware-Kostenvorteil gegenüber UniFi ist real und bei großen Stückzahlen signifikant. Die Integration ist unkompliziert, wenn Sie der dreistufigen Konfiguration folgen — SSID, Portal mit externem RADIUS und Walled Garden. Die häufigsten Fehlerquellen sind der Walled Garden und die HTTPS-Weiterleitungseinstellungen, die jedoch beide leicht zu beheben sind, wenn man weiß, worauf man achten muss. Nächste Schritte: Wenn Sie dies für einen Kunden evaluieren, starten Sie mit dem kostenlosen Connect-Tarif von Purple — es gibt kein finanzielles Risiko. Richten Sie ein Omada Cloud-Konto ein, stellen Sie einen einzelnen EAP650 oder EAP670 als Proof of Concept bereit und gehen Sie die Konfiguration durch. Sie werden in weniger als einer Stunde ein funktionierendes Captive Portal haben. Wenn Sie bereit sind, weiterzugehen — Datenerfassung, CRM-Integration, Verhaltensanalysen —, kommen die Capture- und Engage-Tarife von Purple ins Spiel. Aber beginnen Sie mit Connect, beweisen Sie den Mehrwert und skalieren Sie von dort aus. Vielen Dank fürs Zuhören. Wenn Sie dies nützlich fanden, finden Sie einen vollständigen schriftlichen Leitfaden mit Konfigurationstabellen, Architekturdiagrammen und Praxisbeispielen unter purple.ai. --- ENDE DES SKRIPTS

header_image.png

Management Summary

Für KMUs im Gastgewerbe , Einzelhandel und in öffentlichen Bereichen ist die Bereitstellung eines sicheren, gebrandeten Guest WiFi kein Luxus mehr, sondern eine betriebliche Notwendigkeit. In der Vergangenheit standen IT-Manager vor einer schwierigen Wahl: Entweder sie setzten teure Enterprise-Hardware wie UniFi ein oder sie machten Abstriche bei der Sicherheit und den Analysen mit Access Points für Endverbraucher. TP-Link Omada verändert diese Gleichung grundlegend. Durch die Kombination der kostengünstigen, cloud-gesteuerten Hardware von Omada mit der Enterprise-Authentifizierung von Purple und WiFi Analytics können Standortbetreiber eine sichere, skalierbare Netzwerkarchitektur zu einem Bruchteil der herkömmlichen Kosten realisieren.

Dieser technische Referenzleitfaden bietet einen definitiven Entwurf für die Bereitstellung von TP-Link Omada Access Points mit der Cloud-RADIUS-Infrastruktur von Purple. Wir werden die architektonische Integration untersuchen, die spezifischen Konfigurationsparameter detailliert beschreiben, die für eine nahtlose Captive Portal-Erfahrung erforderlich sind, und eine ehrliche Kosten-Nutzen-Analyse liefern, die Omada mit UniFi für KMU-Bereitstellungen vergleicht. Dies ist ein praktischer, herstellerneutraler Implementierungsleitfaden für leitende IT-Experten und Netzwerkarchitekten, die umsetzbare Anleitungen für die Bereitstellung robuster Gästenetzwerke in diesem Quartal benötigen.

Technischer Deep-Dive

Die Integration zwischen TP-Link Omada und Purple basiert auf einer standardmäßigen externen RADIUS-Server-Architektur in Kombination mit einer externen Web-Portal-Weiterleitung. Diese Entkopplung des Funkzugangsnetzes von der Identitätsverwaltungsebene ist ein grundlegendes Prinzip der modernen Internet of Things Architecture: A Complete Guide .

Architektonischer Überblick

In einer Standardbereitstellung verwaltet der Omada Access Point (z. B. EAP670 oder EAP650) die HF-Umgebung, die Client-Assoziierung und das Roaming. Er übernimmt jedoch keine Authentifizierung. Wenn sich ein Client-Gerät mit der Gäste-SSID verbindet, fängt der Omada-Controller die Verbindung ab und leitet den Browser des Benutzers auf die von Purple gehostete Splash-Page weiter.

captive_portal_flow.png

Sobald der Benutzer seine Anmeldedaten im Purple-Portal übermittelt (oder die Nutzungsbedingungen akzeptiert), fungiert die Cloud-Infrastruktur von Purple als RADIUS-Server. Sie sendet eine Access-Accept-Nachricht zurück an den Omada-Controller, der dann die MAC-Adresse des Client-Geräts im lokalen Netzwerk autorisiert. Purple übernimmt auch das gesamte RADIUS-Accounting und verfolgt die Sitzungsdauer und den Datenverbrauch für Analyse- und Compliance-Zwecke.

Omada Controller-Optionen

Die Omada Software Defined Networking (SDN) Plattform erfordert einen Controller, um die Access Points zu verwalten und die Weiterleitung zum Captive Portal zu steuern. Es gibt drei primäre Bereitstellungsmodelle:

  1. Omada Cloud-Based Controller: Vollständig von TP-Link gehostet. Dies ist der empfohlene Ansatz für die meisten KMU-Bereitstellungen, da kein Controller-Hardware vor Ort benötigt wird und eine hohe Verfügbarkeit gewährleistet ist.
  2. Hardware Controller (OC200/OC300): Ein physisches Gerät, das im lokalen Netzwerk installiert wird. Geeignet für Umgebungen mit unzuverlässigen WAN-Verbindungen, bei denen die lokale Verwaltung von entscheidender Bedeutung ist.
  3. Software Controller: Installiert auf einem lokalen Server oder einer VM (Windows oder Linux).

Es ist von entscheidender Bedeutung, dass der Omada-Controller online bleibt, um neue Gast-Authentifizierungen zu verarbeiten. Wenn der Controller offline geht, bleiben bestehende authentifizierte Sitzungen aktiv, aber neue Clients können das Captive Portal nicht mehr laden.

Implementierungsleitfaden

Die Bereitstellung von Purple auf einem Omada v4+ Controller erfordert die Konfiguration von drei verschiedenen Komponenten: das Wireless-Netzwerk, das Guest Portal und den Walled Garden.

Schritt 1: Konfiguration der Wireless-Einstellungen

Die Grundlage ist eine dedizierte SSID, die für den Gastzugang ohne lokale Verschlüsselung konfiguriert ist.

  1. Navigieren Sie im Omada-Controller zu den Wireless Settings und klicken Sie auf Add.
  2. Definieren Sie die SSID (z. B. "Guest WiFi").
  3. Aktivieren Sie die Option Guest Network. Dies ist von entscheidender Bedeutung, da dadurch die Client-Isolierung auf Layer 2 aktiviert wird. Dies verhindert, dass Gäste untereinander kommunizieren oder auf lokale Unternehmensressourcen zugreifen – eine zwingende Anforderung für die PCI-DSS-Compliance.
  4. Stellen Sie den Security Mode auf None ein. Die Authentifizierung erfolgt auf Layer 7 über das Captive Portal, nicht auf Layer 2.
  5. Wenden Sie die Einstellungen sowohl für das 2,4-GHz- als auch für das 5-GHz-Band an.

Schritt 2: Guest Portal und RADIUS-Konfiguration

Dieser Schritt verbindet den Omada-Controller mit der Cloud-Infrastruktur von Purple.

  1. Navigieren Sie zu Wireless Control > Portal und klicken Sie auf Add a New Portal.
  2. Wählen Sie die in Schritt 1 erstellte SSID aus.
  3. Stellen Sie den Authentication Type auf External RADIUS Server ein.
  4. Konfigurieren Sie den primären RADIUS-Server:
    • RADIUS Server IP: Wird in Ihrem Purple-Dashboard bereitgestellt.
    • RADIUS Port: 1812
    • RADIUS Password: Ihr eindeutiges Purple-RADIUS-Secret.
    • Authentication Mode: PAP
  5. Aktivieren Sie RADIUS Accounting:
    • Accounting Server IP: Wird in Ihrem Purple-Dashboard bereitgestellt.
    • Accounting Server Port: 1813
    • Accounting Server Password: Ihr eindeutiges Purple-RADIUS-Secret.
  6. Aktivieren Sie Interim Update und setzen Sie das Intervall auf 120 Sekunden. Dies stellt eine genaue Sitzungsverfolgung sicher.
  7. Wählen Sie unter Portal Customization die Option External Web Portal.
  8. Geben Sie die von Purple bereitgestellte External Web Portal URL ein.

Wichtiger Hinweis: Stellen Sie sicher, dass HTTPS Redirect auf Disable gesetzt ist. Das anfängliche Abfangen durch das Captive Portal basiert auf HTTP. Die Aktivierung der HTTPS-Weiterleitung auf Controller-Ebene verhindert das Laden der Splash-Page.

Schritt 3: Walled Garden (Zugriff vor der Authentifizierung)

Der Walled Garden ist die häufigste Fehlerquelle bei der Bereitstellung von Gäste-WiFi. Bevor sich ein Benutzer authentifiziert, muss sein Gerät in der Lage sein, die Server von Purple aufzulösen und zu erreichen, um die Splash-Page zu laden und Social Logins zu verarbeiten.

  1. Navigieren Sie in den Portal-Einstellungen zum Reiter Access Control.
  2. Aktivieren Sie Pre-authentication Access.
  3. Fügen Sie alle Domänen hinzu, die in der offiziellen Walled Garden Whitelist von Purple aufgeführt sind. Dies umfasst die Core-Domänen von Purple, CDN-Endpunkte sowie Domänen, die für Social-Login-Anbieter (Facebook, Google, X) erforderlich sind.
  4. Eine fehlerhafte Konfiguration führt dazu, dass der Captive Network Assistant (CNA) unter iOS und Android die Seite nicht rendern kann.

Best Practices

Um eine robuste und rechtskonforme Bereitstellung zu gewährleisten, halten Sie sich an die folgenden branchenüblichen Empfehlungen:

  • VLAN-Segmentierung: Legen Sie die Gäste-SSID immer auf ein dediziertes VLAN, das vollständig vom Unternehmensdatenverkehr, Point-of-Sale-Systemen (POS) und Management-Schnittstellen isoliert ist. Dies minimiert Risiken und vereinfacht die Compliance-Prüfung.
  • Bandbreitenbegrenzung: Implementieren Sie eine Ratenbegrenzung für die Gäste-SSID (z. B. 5 Mbit/s Downstream / 1 Mbit/s Upstream pro Client), um zu verhindern, dass ein einzelner Benutzer die WAN-Verbindung auslastet und den Geschäftsbetrieb beeinträchtigt.
  • SecurePass-Integration: Konfigurieren Sie für Standorte mit vielen wiederkehrenden Besuchern SecurePass von Purple (WPA-Enterprise mit Hotspot 2.0). Dadurch können sich wiederkehrende Gäste automatisch über ein Profil authentifizieren, wodurch der Captive Portal für ein reibungsloses Erlebnis komplett umgangen wird.
  • Hochverfügbarkeit des Controllers: Wenn Sie einen physischen Controller vor Ort (OC200) verwenden, stellen Sie sicher, dass dieser an eine unterbrechungsfreie Stromversorgung (USV) angeschlossen ist. Ein Neustart des Controllers stoppt neue Authentifizierungen.

Fehlerbehebung & Risikominderung

Bei der Bereitstellung von Captive Portals von Drittanbietern treten häufig bestimmte Fehlerszenarien auf. So beheben Sie diese:

iOS Captive Network Assistant (CNA) lädt nicht

Wenn sich Apple-Geräte mit dem WiFi verbinden, die Splash-Page jedoch nicht automatisch angezeigt wird, liegt das Problem fast immer an einem unvollständigen Walled Garden. Der iOS CNA versucht, bestimmte Apple-Endpunkte (z. B. captive.apple.com) zu erreichen, um den Internetzugang zu prüfen. Wenn diese blockiert sind oder die CDN-Domänen von Purple in der Pre-Authentication Access-Liste fehlen, wird die Seite nicht gerendert. Überprüfen Sie die Whitelist anhand der aktuellen Dokumentation von Purple.

Sitzungen werden in den Analytics nicht angezeigt

Wenn sich Benutzer authentifizieren und auf das Internet zugreifen können, ihre Sitzungsdaten (Dauer, Bandbreite) jedoch im Purple-Dashboard fehlen, überprüfen Sie die RADIUS-Accounting-Konfiguration. Stellen Sie sicher, dass der Accounting-Port auf 1813 eingestellt ist, das Shared Secret exakt übereinstimmt und das Intervall für Interim Update aktiviert und auf 120 Sekunden eingestellt ist.

Authentifizierungs-Timeouts

Wenn das Portal lädt, die Benutzer jedoch nach dem Klick auf „Verbinden“ eine Timeout-Fehlermeldung erhalten, kann der Omada-Controller den Purple RADIUS-Server über Port 1812 nicht erreichen. Überprüfen Sie die Outbound-Firewall-Regeln auf Ihrem Edge-Router, um sicherzustellen, dass die UDP-Ports 1812 und 1813 für die IP-Adressen von Purple geöffnet sind.

ROI & geschäftliche Auswirkungen

Für IT-Leiter und CTOs ist die Entscheidung, Omada-Hardware mit Purple-Software einzusetzen, in erster Linie eine wirtschaftliche. Wie schneidet diese Architektur im Vergleich zu Alternativen ab, und wie hoch ist der erwartete Return on Investment?

Die Entscheidung: Omada vs. UniFi

omada_vs_unifi_comparison.png

Die UniFi-Plattform von Ubiquiti ist der etablierte Marktführer im KMU-Bereich. TP-Link Omada bietet jedoch einen überzeugenden finanziellen Vorteil, ohne dabei auf Kernfunktionen zu verzichten.

  • Investitionskosten (CapEx): Omada Access Points (z. B. EAP670) sind in der Regel 15-30 % günstiger als ihre UniFi-Pendants (z. B. U6 Pro). Bei einer Bereitstellung von 50 APs entspricht dies Einsparungen bei der Hardware im Wert von mehreren tausend Dollar.
  • Betriebskosten (OpEx): TP-Link bietet den Omada-Cloud-Controller kostenlos an. Das offizielle Cloud-Hosting von UniFi erfordert ein monatliches Abonnement pro Standort.
  • Integration: Beide Plattformen unterstützen External RADIUS und lassen sich nahtlos in Purple integrieren.

Für ein funktionsreiches, einheitliches Ökosystem, das Kameras und Türzugang umfasst, bleibt UniFi überlegen. Für eine reine Wireless-Bereitstellung, die auf Kosteneffizienz und zuverlässigen Gastzugang ausgerichtet ist, bietet Omada jedoch einen außergewöhnlichen Mehrwert.

Erfolg messen

Die Bereitstellung von Purple Connect (der kostenlosen Version) auf Omada-Hardware bietet einen sofortigen ROI, da der IT-Supportaufwand für die Verwaltung von Gästepasswörtern reduziert wird. Um die größeren kommerziellen Auswirkungen eines Upgrades auf kostenpflichtige Stufen für Datenerfassung und Marketing-Automatisierung zu verstehen, lesen Sie unsere umfassende Analyse: Warum WiFi-Marketing nutzen? Der Business Case mit realen Daten .

Durch die Nutzung der kostengünstigen Hardware von Omada können Unternehmen ihr Budget von den Infrastruktur-Investitionskosten auf Softwarelösungen umverteilen, die aktiv den Umsatz steigern und das Netzwerk von einer Kostenstelle in ein Marketing-Asset verwandeln.

Schlüsseldefinitionen

Externer RADIUS-Server

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) bietet. In diesem Zusammenhang fungiert Purple als RADIUS-Server, der Benutzer verifiziert und den Omada-Controller anweist, den Netzwerkzugriff zu gewähren.

IT-Teams nutzen diese Architektur, um das Identitätsmanagement von der lokalen Netzwerkhardware zu entkoppeln, was cloudbasierte Analysen und Compliance ermöglicht.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlich zugänglichen Netzwerks ansehen und mit ihr interagieren muss, bevor der Zugriff gewährt wird.

Dies ist der primäre Interaktionspunkt für die Datenerfassung und Markenbindung bei der Bereitstellung von Gäste-WiFi.

Walled Garden (Pre-Authentication Access)

Eine begrenzte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig im Netzwerk authentifiziert hat.

Entscheidend dafür, dass Geräte die auf den Servern von Purple gehostete Splash-Page erreichen und mit Social-Login-Anbietern wie Google oder Facebook kommunizieren können, bevor der Internetzugang gewährt wird.

Captive Network Assistant (CNA)

Der in mobile Betriebssysteme (wie iOS und Android) integrierte Pseudo-Browser, der Captive Portals automatisch erkennt und den Anmeldebildschirm einblendet.

IT-Teams müssen sicherstellen, dass der Walled Garden perfekt konfiguriert ist, da der CNA sehr empfindlich auf blockierte Ressourcen reagiert und geräuschlos fehlschlägt, wenn er die erforderlichen Endpunkte nicht erreichen kann.

RADIUS-Accounting

Der Prozess der Erfassung des Netzwerkressourcenverbrauchs durch Benutzer, einschließlich der Sitzungsdauer und der übertragenen Bytes.

Unerlässlich für die Erstellung präziser Analysen im Purple-Dashboard und für die Durchsetzung von Bandbreiten- oder Zeitbeschränkungen bei Gäste-Sitzungen.

Layer 2 Isolation (Gästewlan-Modus)

Eine Sicherheitsfunktion, die verhindert, dass Geräte, die mit demselben drahtlosen Netzwerk verbunden sind, direkt miteinander kommunizieren.

Eine zwingende Voraussetzung für öffentliche Netzwerke, um die laterale Ausbreitung von Malware zu verhindern und Sicherheitsstandards wie PCI DSS einzuhalten.

Interim-Update-Intervall

Die Häufigkeit, mit der der Netzwerk-Controller während einer aktiven Sitzung Aktualisierungen der Accounting-Daten an den RADIUS-Server sendet.

Die Einstellung auf 120 Sekunden stellt sicher, dass Purple nahezu Echtzeitdaten über Benutzersitzungen erhält, ohne das Netzwerk mit RADIUS-Verkehr zu überlasten.

Passpoint (Hotspot 2.0)

Ein Standard, der es mobilen Geräten ermöglicht, Wi-Fi-Netzwerke automatisch und sicher zu erkennen und eine Verbindung herzustellen, ohne dass eine Anmeldung über ein Captive Portal erforderlich ist.

Wird von der SecurePass-Funktion von Purple verwendet, um wiederkehrenden Gästen eine reibungslose, sichere (WPA-Enterprise) Verbindung zu bieten, was die Benutzererfahrung verbessert und die Verbindungsraten erhöht.

Ausgearbeitete Beispiele

Ein Boutique-Hotel mit 150 Zimmern muss in allen Zimmern und öffentlichen Bereichen ein Gäste-WiFi bereitstellen. Das Hotel hat ein knappes Budget, benötigt jedoch eine GDPR-konforme Datenerfassung und nahtloses Roaming. Es evaluiert UniFi U6 Pro im Vergleich zu TP-Link Omada EAP670.

Das Hotel sollte 40 TP-Link Omada EAP670 Access Points bereitstellen, die über den kostenlosen Omada Cloud Controller verwaltet werden. Es wird eine "Guest WiFi"-SSID ohne Layer-2-Sicherheit konfiguriert, die für die Authentifizierung auf die externe RADIUS-Integration von Purple setzt. Zudem muss ein restriktiver Walled Garden implementiert werden, um den Zugriff auf die Splash Pages von Purple vor der Authentifizierung zu ermöglichen. Das Gästenetzwerk wird in einem isolierten VLAN platziert.

Kommentar des Prüfers: Dieser Ansatz reduziert die Hardware-CapEx im Vergleich zu UniFi um ca. 20 %, während gleichzeitig wiederkehrende Controller-Hosting-Gebühren entfallen. Durch die Übertragung der Authentifizierung an Purple erreicht das Hotel Compliance der Enterprise-Klasse und Funktionen zur Datenerfassung auf kostengünstiger Hardware. Der kritische Erfolgsfaktor ist die Gewährleistung eines lückenlosen Walled Garden, um Ausfälle des Captive Portals unter iOS zu verhindern.

Eine Einzelhandelskette mit 20 kleineren Filialen möchte ihren Kunden kostenloses WiFi anbieten, um E-Mail-Adressen für ihr Treueprogramm zu erfassen. Derzeit verfügt sie in jeder Filiale über unmanaged Consumer-Router und hat keinen zentralen IT-Support.

In jeder Filiale wird ein einzelner TP-Link Omada EAP650 Access Point bereitgestellt, der für eine zentrale Verwaltung mit einem Omada Cloud Controller verbunden ist. Konfigurieren Sie die Tarife "Connect" oder "Capture" von Purple über externen RADIUS. Implementieren Sie eine Bandbreitenbegrenzung (z. B. 5 Mbps Downstream / 1 Mbps Upstream) auf der Gäste-SSID, um die begrenzten WAN-Verbindungen der Filialen zu schützen, die auch von Kassensystemen (POS) genutzt werden.

Kommentar des Prüfers: Der Omada Cloud Controller ist hier unverzichtbar, da er eine zentrale Steuerungskonsole für alle 20 Standorte bietet, ohne dass Hardware vor Ort erforderlich ist. Die Bandbreitenbegrenzung ist ein entscheidender Schritt zur Risikominderung; ohne sie könnte ein einzelner Gast, der eine große Datei herunterlädt, die POS-Transaktionen stören. Purple übernimmt die komplexe Aufgabe der GDPR-konformen Datenerfassung über mehrere verteilte Standorte hinweg.

Übungsfragen

Q1. Ein Standort berichtet, dass sich Nutzer mit dem Gäste-WiFi verbinden und im Internet surfen können, aber keine Sitzungsdaten oder Analysen im Purple-Dashboard angezeigt werden. Was ist der wahrscheinlichste Konfigurationsfehler auf dem Omada-Controller?

Hinweis: Denken Sie an das spezifische RADIUS-Protokoll, das für die Erfassung der Nutzung zuständig ist, nicht nur für die Gewährung des Zugangs.

Musterlösung anzeigen

Die RADIUS-Accounting-Konfiguration ist wahrscheinlich fehlerhaft oder deaktiviert. Das IT-Team sollte überprüfen, ob Accounting aktiviert ist, die Accounting-Server-IP korrekt ist, der Accounting-Port auf 1813 eingestellt ist und das Interim-Update-Intervall auf 120 Sekunden festgelegt ist.

Q2. Während eines Pilotprojekts laden Android-Geräte die Purple-Splash-Page erfolgreich, aber iOS-Geräte zeigen einen leeren Bildschirm an und trennen die WiFi-Verbindung. Wie sollte der Netzwerkarchitekt dies beheben?

Hinweis: iOS und Android verarbeiten die Erkennung des Captive Portals unterschiedlich. iOS verlässt sich stark darauf, dass bestimmte Domains vor der Authentifizierung erreichbar sind.

Musterlösung anzeigen

Der Netzwerkarchitekt muss die Pre-Authentication Access List (Walled Garden) auf dem Omada-Controller aktualisieren. Der iOS Captive Network Assistant (CNA) schlägt fehl, weil er die erforderlichen Apple-Domains oder Purple-CDN-Endpunkte nicht erreichen kann. Die Konfiguration muss mit der offiziellen Walled Garden-Whitelist von Purple abgeglichen werden.

Q3. Ein Kunde möchte von einer teuren, abonnementbasierten Cloud-Managed-WiFi-Lösung auf TP-Link Omada umsteigen, um OpEx zu sparen, befürchtet jedoch den Verlust der Enterprise-Analysen, auf die er sich derzeit verlässt. Was ist die empfohlene Architektur?

Hinweis: Wie lässt sich die Hardware-Verwaltungsebene von der Analyse- und Identitätsebene trennen?

Musterlösung anzeigen

Der Kunde sollte TP-Link Omada Access Points einsetzen, die über den kostenlosen Omada Cloud-Controller verwaltet werden, um Hardware-Abonnementgebühren zu vermeiden. Diese sollten dann über eine externe RADIUS-Konfiguration mit Purple WiFi integriert werden. Diese Architektur bietet eine kosteneffiziente Hardware-Verwaltung, während über die Purple-Plattform weiterhin Enterprise-Analysen, Datenerfassung und CRM-Integrationen zur Verfügung stehen.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →