Ubiquiti UniFi und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Wie Ubiquiti UniFi Network mit Purple Gäste-WiFi funktioniert: ein externer Portal-Server, Controller-Autorisierung und ein Walled Garden, mit einem Link zur Schritt-für-Schritt-Anleitung von Purple für die genaue Konfiguration.

📖 2 Min. Lesezeit📝 462 Wörter📚 5 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zum technischen Briefing von Purple. Ich bin Ihr Gastgeber, und in den nächsten zehn Minuten bieten wir Ihnen einen Leitfaden auf Senior-Ebene für die Integration der WiFi-Intelligence-Plattform von Purple in Ubiquiti UniFi-Netzwerke. Dies richtet sich an IT-Manager, Netzwerkarchitekten und Betriebsleiter, die praktische Anleitungen für die Bereitstellung einer erstklassigen Gäste-WiFi-Lösung benötigen. Wir behandeln die Kernarchitektur, einen schrittweisen Implementierungsplan und die häufigsten Fehler, die es zu vermeiden gilt.

Lassen Sie uns den Kontext herstellen. Sie haben ein UniFi-Netzwerk - es ist leistungsstark, es ist skalierbar, aber die nativen Funktionen des Gästeportals sind rudimentär. Ihr Unternehmen benötigt mehr als nur ein Passwort; es benötigt Intelligenz. Sie möchten das Besucherverhalten verstehen, Daten für das Marketing GDPR-konform erfassen und eine nahtlose, gebrandete Benutzererfahrung bieten. Dies ist das Problem, das die Purple-Integration löst. Sie verwandelt Ihre UniFi-Infrastruktur von einem einfachen Internetanbieter in eine reichhaltige Quelle für Business Intelligence.

Der Kern dieser Integration liegt in der Funktion „External Portal Server“ von UniFi. Wenn sich ein Gast verbindet, übernimmt der UniFi-Controller die Anmeldung nicht selbst. Stattdessen leitet er den Benutzer an die Purple-Cloud-Plattform weiter, die die gesamte Authentifizierung übernimmt. Nachdem sich der Benutzer über ein Social-Media-Konto, ein Formular oder einen Gutschein angemeldet hat, führt Purple einen sicheren API-Aufruf an Ihren UniFi-Controller durch, um zu signalisieren: „Dieser Benutzer ist authentifiziert, gewähre ihm Zugriff.“ Es ist eine einfache, robuste und äußerst effektive Architektur.

Nun zum technischen Deep-Dive. Lassen Sie uns die fünf wichtigsten Schritte für eine erfolgreiche Bereitstellung durchgehen. Ich halte mich kurz.

Schritt eins: Erreichbarkeit des Controllers. Ihr UniFi-Controller muss für die Cloud-Plattform von Purple erreichbar sein. Das bedeutet, dass Sie eine statische öffentliche IP oder einen Hostnamen benötigen und eine Portweiterleitungsregel auf Ihrer Firewall konfigurieren müssen. Dies ist der TCP-Port 8443 für Software-Controller und Port 443 für Hardware wie die UDM Pro oder den Cloud Key Gen2.

Schritt zwei: Die Gäste-SSID. In Ihrer UniFi-Netzwerkanwendung erstellen Sie ein neues Drahtlosnetzwerk. Die entscheidende Einstellung hierbei ist, dass das Sicherheitsprotokoll auf „Open“ eingestellt sein muss. Dies ist nicht verhandelbar. Nur dieser offene Zustand ermöglicht die Weiterleitung an das Captive Portal. Keine Sorge - die Sicherheit wird durch das Portal und die Netzwerksegmentierung gewährleistet, nicht durch einen Pre-Shared Key.

Schritt drei: Das Hotspot-Portal. Hier weisen Sie UniFi an, Purple zu verwenden. Sie aktivieren das Hotspot-Portal und stellen den Authentifizierungstyp auf „External Portal Server“ ein. Anschließend geben Sie die von Purple bereitgestellte spezifische IP-Adresse und Zugriffsdomäne ein. Ein wichtiger Fehler, den Sie hier vermeiden sollten, ist die Aktivierung der HTTPS-Weiterleitung. Purple verwaltet die Sicherheit, daher sollte dies deaktiviert sein.

Schritt vier: Die Walled Garden. Dies ist der wichtigste und am häufigsten missverstandene Teil der Konfiguration. Die Walled Garden ist Ihre Whitelist für die Zeit vor der Authentifizierung. Sie müssen alle Domains von Purple sowie die Domains aller Anbieter von Social Logins hinzufügen, die Sie anbieten möchten, wie z. B. facebook.com. Wenn diese Liste unvollständig ist, wird das Portal für Ihre Gäste schlichtweg nicht geladen. Dies ist die erste Anlaufstelle bei der Fehlersuche.

Schritt fünf: Das Purple-Portal. Schließlich melden Sie sich in Ihrem Purple-Konto an. In Ihren Standorteinstellungen geben Sie die öffentliche Adresse Ihres UniFi-Controllers und - ganz wichtig - die Anmeldedaten für ein dediziertes lokales Administratorkonto ein, nicht Ihr Ubiquiti-Cloud-Konto. Dies ermöglicht es Purple, den wichtigen API-Aufruf zur Autorisierung des Gasts durchzuführen.

Wenn Sie diese fünf Schritte befolgen, erhalten Sie eine robuste Gäste-WiFi-Lösung der Enterprise-Klasse.

Lassen Sie uns über Implementierungsempfehlungen und Fallstricke sprechen. Best Practice Nummer eins: Netzwerksegmentierung. Ihre Gäste-SSID muss sich in einem eigenen VLAN befinden und vollständig von Ihrem Unternehmensnetzwerk isoliert sein. Dies ist aus Sicherheitsgründen und zur Einhaltung von PCI-DSS nicht verhandelbar. Zweitens: Nutzen Sie Bandbreitenbegrenzung. UniFi ermöglicht es Ihnen, Ratenbegrenzungen pro Benutzer festzulegen. Nutzen Sie diese, um eine faire Nutzererfahrung für alle zu gewährleisten. Drittens: Verwenden Sie, wie bereits erwähnt, ein dediziertes lokales Admin-Konto für die API. Dies minimiert Ihr Sicherheitsrisiko.

Der häufigste Fallstrick, den wir sehen, ist eine fehlgeschlagene Weiterleitung - das Portal wird nicht geladen. In neun von zehn Fällen liegt das an einer unvollständigen Walled Garden. Das zweithäufigste Problem ist eine erfolgreiche Anmeldung, aber kein Internetzugang. Dies deutet direkt auf einen Kommunikationsfehler zwischen Purple und Ihrem Controller hin. Überprüfen Sie Ihre Portweiterleitungsregeln und die Admin-Anmeldedaten im Purple-Portal.

Zeit für ein schnelles Q&A. Ich werde oft gefragt: Kann ich das mit einer UDM Pro machen? Ja, absolut. Der Prozess ist identisch, denken Sie nur daran, Port 443 zu verwenden. Was passiert, wenn sich meine Controller-IP ändert? Sie benötigen eine statische IP oder einen dynamischen DNS-Hostnamen. Wenn sich die Adresse ändert, funktioniert die Integration nicht mehr. Wie sicher ist eine Open SSID? Die Sicherheit wird durch Client-Isolierung auf dem Access Point und die VLAN-Firewall-Regeln erzwungen. Das Gästenetzwerk ist isoliert. Für noch mehr Sicherheit können wir WPA3-Enterprise mit RADIUS bereitstellen, was unsere PurpleConnex-Lösung tut.

Zusammenfassend lässt sich sagen, dass die Integration von Purple mit UniFi Ihr Gäste-WiFi von einer einfachen Dienstleistung in ein strategisches Asset verwandelt. Sie bietet tiefgehende Business Intelligence, leistungsstarke Marketingfunktionen und ein professionelles Nutzererlebnis. Der Schlüssel zum Erfolg ist ein methodisches Vorgehen bei der Konfiguration: Stellen Sie den öffentlichen Controller-Zugriff sicher, verwenden Sie eine offene SSID, konfigurieren Sie das externe Portal und den Walled Garden korrekt und nutzen Sie einen dedizierten lokalen Administrator für die API. Wenn Sie dieser Anleitung folgen, können Sie eine reibungslose, erfolgreiche und äußerst wertvolle Bereitstellung gewährleisten. Detaillierte Schritt-für-Schritt-Anleitungen und Diagramme finden Sie im vollständigen technischen Referenzhandbuch auf unserer Website. Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben.

Ubiquiti UniFi Access Points werden vom UniFi Network Controller verwaltet, unabhängig davon, ob dieser auf einer Dream Machine, einem CloudKey oder Ihrem eigenen Server läuft. Purple fügt die Gästeschicht hinzu: das Captive Portal, das Ihre Besucher sehen, den Anmeldeprozess und die von Ihnen erfassten First-Party-Daten. Es ersetzt keines Ihrer UniFi-Geräte.

Wie Ubiquiti UniFi mit Purple Gast WiFi zusammenarbeitet

Purple ist ein Cloud-Overlay. Ihr UniFi Network Controller betreibt weiterhin das WiFi; Purple steuert das Gästeerlebnis über Funktionen, die UniFi bereits bietet.

Externer Portal-Server. Im Hotspot Manager von UniFi leiten Sie die Landingpage anstelle der integrierten UniFi-Seite an Purple weiter. Ein neues Gerät wird auf Ihre Purple Splash Page umgeleitet, der Besucher meldet sich an und die Kontrolle geht zurück an UniFi.
Controller-Autorisierung. Purple autorisiert jeden Gast, indem es direkt mit Ihrem UniFi Network Controller über dessen öffentliche Adresse und ein separates, von Ihnen für diesen Zweck erstelltes Controller-Login kommuniziert. Wenn der Controller öffentlich nicht erreichbar ist, ermöglicht eine Portweiterleitung diese Verbindung.
Walled Garden. Die Pre-Autorisierungsregeln von UniFi ermöglichen das Laden der Splash Page sowie aller Zahlungs- oder Social-Login-Schritte, bevor sich ein Besucher angemeldet hat.

Für wiederkehrende Besucher bietet die SecurePass (Passpoint) Option von UniFi eine sichere, verschlüsselte und durch RADIUS gestützte Verbindung, sodass sich bekannte Benutzer ohne erneute Anmeldung wieder verbinden können.

Das ist das gesamte Modell: UniFi überträgt die Pakete und verwaltet die Funkverbindungen, Purple übernimmt die Anmeldung und die Daten. Da es auf Standard-Webauthentifizierung und RADIUS basiert, funktioniert es auf die gleiche Weise mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Purple ist designbedingt hardwareunabhängig.

Was Sie benötigen

Einen UniFi Network Controller (auf einer Dream Machine, einem CloudKey oder Ihrem eigenen Server) mit Administrator-Zugriff.
Einen Purple Standort, an dem Ihre Splash Page und Ihr Anmeldeprozess eingerichtet sind.
Ein dediziertes UniFi-Controller-Login und die öffentliche Adresse Ihres Controllers, damit Purple Gäste autorisieren kann.

Einrichtung mit Purple

Die genauen Einstellungen, die Adresse des externen Portal-Servers, die Optionen für die Landingpage im Hotspot Manager, die Pre-Autorisierungsdomains, die Standorteinstellungen, die Purple mit Ihrem Controller verknüpfen, sowie die optionale SecurePass Konfiguration sind Schritt für Schritt im Support-Handbuch von Purple mit den genauen einzutragenden Werten dokumentiert.

Ubiquiti UniFi Network Einrichtungsleitfaden

Folgen Sie dieser Anleitung für die Konfiguration. Diese Seite erklärt, wie die einzelnen Teile zusammenpassen, damit Sie wissen, was jeder Schritt bewirkt.

Was Sie erhalten

Sobald sich Gäste über Purple anmelden, wird jeder Besuch zu verifizierten First-Party-Daten mit einer bewussten Opt-in-Entscheidung: wer zu Besuch war, wie oft und wie man sie mit ihrer Erlaubnis kontaktieren kann. Das ist der Unterschied zwischen WiFi, das Menschen verbindet, und WiFi, das eine eigene Marketing-Zielgruppe aufbaut. Purple ist GDPR-konform und ISO 27001 zertifiziert, mit einer Betriebszeit von 99,999 % an über 80.000 Live-Standorten.

Schlüsseldefinitionen

Captive Portal

Die Anmeldeseite, die ein Besucher sieht, bevor er online geht. Purple hostet und betreibt sie; UniFi leitet Geräte dorthin weiter.

Die Gäste-Erlebnisebene, die Purple über Ihr UniFi WiFi legt.

Externer Portal-Server

Eine UniFi-Einstellung, die ein nicht-authentifiziertes Gerät an eine extern gehostete Anmeldeseite anstelle der integrierten UniFi-Seite sendet.

Wie der Hotspot Manager von UniFi den Gast an die Purple Splash Page übergibt.

Controller-Autorisierung

Purple kommuniziert über seine öffentliche Adresse unter Verwendung eines dedizierten Logins mit Ihrem UniFi Network-Controller, um jede Gäste-Sitzung zu autorisieren.

Wie Purple einen angemeldeten Gast im UniFi-Netzwerk online lässt.

Walled Garden

Eine kurze Freigabeliste von Adressen, die ein Gerät erreichen kann, bevor es sich angemeldet hat.

Ermöglicht das Laden der Splash Page, der Zahlungen und des Social Logins vor der Authentifizierung.

SecurePass (Passpoint)

Eine verschlüsselte WiFi-Verbindung, die durch RADIUS unterstützt wird und es bekannten Benutzern ermöglicht, sich ohne erneute Anmeldung wieder zu verbinden.

Eine optionale sichere Stufe für wiederkehrende Besucher.