Zum Hauptinhalt springen
Deutsch

WatchGuard Firebox Integration mit Purple WiFi: Setup- und Konfigurationshandbuch

Dieses Handbuch ist eine Schritt-für-Schritt-Integrationsanleitung für IT-Manager und Netzwerkarchitekten, die WatchGuard Firebox und Access Points mit Purple implementieren. Es deckt die Weiterleitung an ein externes Captive Portal für Guest WiFi, sichere 802.1X-Authentifizierung für Staff WiFi und mandantenfähige Segmentierung mithilfe von WatchGuard Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Steuerung ab – für eine einzige, einheitliche Architektur über alle Zugriffsebenen hinweg.

📖 8 Min. Lesezeit📝 1,854 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 10 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Integrations-Briefing. Heute befassen wir uns mit der Integration der WatchGuard Firebox und Access Points mit Purple WiFi. Dies ist ein technisches Playbook für IT-Manager, Netzwerkarchitekten und Betreiber von Veranstaltungsorten, die eine sichere, skalierbare drahtlose Infrastruktur bereitstellen müssen. Wir werden uns Guest WiFi Captive Portals, sicheres Staff-WiFi über 802.1X und mandantenfähige Segmentierung mittels WatchGuard Private Pre-Shared Keys (PPSK) ansehen. Lassen Sie uns direkt in den Kontext einsteigen. Wenn Sie einen komplexen Veranstaltungsort verwalten – beispielsweise ein Stadion, ein großes Einkaufszentrum oder ein Mehrfamilienhaus – benötigen Sie eine präzise Kontrolle darüber, wer auf das Netzwerk zugreift und was die Nutzer nach der Verbindung tun können. Zudem müssen Sie First-Party-Daten erfassen, um Marketing-Umsätze zu generieren. WatchGuard bietet die einheitliche Sicherheitsplattform und die Hardware. Purple liefert das Cloud-Overlay, das Identitätsmanagement und die Analysen. Durch die Integration beider Systeme automatisieren Sie die identitätsbasierte Zugriffskontrolle. Sie machen separate Gateways für Gäste und Mitarbeiter überflüssig, was die Hardwarekosten senkt und die Verwaltung vereinfacht. Purple bedient derzeit über 80.000 aktive Veranstaltungsorte und hat allein im Jahr 2024 rund 440 Millionen Logins verarbeitet. Die Plattform ist also für jede Größenordnung ausgelegt, die Sie wahrscheinlich verwalten. Kommen wir nun zu den technischen Details. Die Architektur basiert auf Standard-RADIUS-Protokollen und HTTP-Weiterleitungen. Wir haben drei Haupt-Zugriffsebenen. Erstens: Guest WiFi. Dies ist eine offene SSID. Der WatchGuard AP fängt HTTP-Anfragen ab und leitet den Nutzer auf die von Purple gehostete Splash-Page weiter. Zweitens: Staff-WiFi. Dies ist eine sichere WPA3-Enterprise-SSID unter Verwendung von 802.1X. Geräte authentifizieren sich direkt an den RADIUS-Servern von Purple mittels EAP-TLS oder PEAP. Drittens: Multi-Tenant-WiFi. Dies nutzt WatchGuard PPSK. Mehrere Nutzer verbinden sich mit einer einzigen SSID, nutzen jedoch jeweils ein individuelles Passwort. Der WatchGuard AP fragt den RADIUS-Server von Purple ab, welcher dann dynamisch ein VLAN basierend auf diesem spezifischen Key zuweist. Wie konfigurieren wir also das Guest WiFi Captive Portal? Schritt eins ist die Einrichtung des RADIUS-Servers in der WatchGuard Cloud oder im Firebox Policy Manager. Sie verweisen mit dem primären RADIUS-Server auf die IP-Adresse von Purple für Ihre Region. Die Authentifizierung erfolgt über Port 1812, das Accounting über Port 1813. Sie geben das von Purple bereitgestellte Shared Secret ein und stellen vor allem sicher, dass die NAS-ID mit der MAC-Adresse der Firebox oder des APs übereinstimmt. Dadurch erfährt Purple, von welchem Veranstaltungsort die Anfrage stammt. Schritt zwei ist die Weiterleitung zum Captive Portal selbst. In den SSID-Einstellungen wählen Sie "Third-Party Hosted Captive Portal with RADIUS Authentication". Sie geben die URL der Splash-Page von Purple und das Shared Secret des Portals ein. Dies ist ein spezielles Secret, das im Dashboard von Purple Analyze generiert wird und zur Erstellung eines HMAC-Digests verwendet wird, um Authentifizierungsanfragen zu validieren. Der HMAC-SHA1-Algorithmus stellt sicher, dass die erfolgreiche Authentifizierungsnachricht von Purple echt ist und auf dem Übertragungsweg nicht manipuliert wurde. Schritt drei, und hier straucheln viele Implementierungen, ist der Walled Garden. Wenn Sie diesen nicht konfigurieren, kann das Gerät die Splash-Page nicht laden. Sie müssen vor dem Login den Zugriff auf star-punkt-mypurple-punkt-com, api-punkt-mypurple-punkt-com und cdn-punkt-mypurple-punkt-com zulassen. Wenn Sie Social-Logins wie Microsoft Entra ID oder Google Workspace verwenden, müssen Sie auch die Domains dieser Identity Provider hinzufügen. Stellen Sie sich den Walled Garden wie eine Lobby vor der Authentifizierung vor. Ohne ihn kann der Gast nicht einmal die Haustür erreichen. Sehen wir uns nun die mandantenfähige Segmentierung mit WatchGuard PPSK an. Wenn Sie ein Einkaufszentrum mit 15 Geschäften verwalten, ist das Ausstrahlen von 15 verschiedenen SSIDs ein schlechter Ansatz. Dies führt zu Gleichkanalstörungen (Co-Channel Interference), überlastet den Frequenzbereich und verursacht einen hohen Verwaltungsaufwand. PPSK löst dies elegant. Sie strahlen eine einzige SSID aus, beispielsweise "Centre-Retail". Sie aktivieren Private Pre-Shared Key in den WatchGuard SSID-Einstellungen, was die Firmware-Version 2.6 oder höher auf Ihren WatchGuard Access Points erfordert. In Purple erstellen Sie eindeutige Schlüssel, einen pro Mandant. Um den Datenverkehr zu isolieren, verwenden Sie Dynamic VLAN Assignment. In der WatchGuard Cloud stellen Sie das VLAN auf "Dynamic VLAN assigned by RADIUS" ein. Wenn ein Geschäft ein Gerät mit seinem spezifischen Schlüssel verbindet, sendet der AP einen Access-Request an den RADIUS-Server von Purple. Purple validiert den Schlüssel und sendet ein Access-Accept-Paket mit drei wichtigen IETF-RADIUS-Attributen zurück. Tunnel-Type (Attribut 64), eingestellt auf VLAN. Tunnel-Medium-Type (Attribut 65), eingestellt auf 802. Und Tunnel-Private-Group-ID (Attribut 81), eingestellt auf die zugewiesene VLAN-ID, zum Beispiel VLAN 100 für Einzelhandelsmieter A. Der WatchGuard AP leitet dieses Gerät dann an das VLAN 100 weiter, vollständig isoliert von den anderen Mandanten. Das ist netzwerkbasierte Identitätssteuerung in der Praxis. Lassen Sie uns über Implementierungsempfehlungen und häufige Fehler sprechen. Erstens: Session-Timeouts. Konfigurieren Sie strikte Session-Timeouts sowohl in Purple als auch in WatchGuard, um eine erneute Authentifizierung zu erzwingen. Dies hält Ihre Analysen präzise und stellt sicher, dass inaktive Sitzungen keine Bandbreite verbrauchen. Setzen wir Ihre RADIUS Interim-Update-Intervalle auf 10 Minuten. Zweitens: Firmware. Sie müssen sicherstellen, dass auf Ihren WatchGuard Access Points die Firmware-Version 2.6 oder höher läuft, um PPSK zu unterstützen. Ältere Firmware-Versionen unterstützen diese Funktion nicht. Drittens: MAC-Randomisierung. Moderne Geräte randomisieren ihre MAC-Adressen standardmäßig. Weisen Sie Ihre Mitarbeiter für Ihr sicheres Mitarbeiter-WiFi-Netzwerk an, diese Funktion für diese spezifische SSID zu deaktivieren, um eine stabile 802.1X-Authentifizierung zu gewährleisten. Die MAC-Randomisierung kann zu Authentifizierungsfehlern und inkonsistenten Analysedaten führen. Was passiert, wenn etwas schiefgeht? Wenn das Captive Portal nicht geladen wird, überprüfen Sie zuerst den Walled Garden. Wenn das Gerät kein DNS auflösen oder die Purple-Server nicht erreichen kann, wird anstelle der Splash-Page ein Timeout-Fehler angezeigt. Wenn das VLAN-Steering fehlschlägt und der Client eine IP aus dem falschen VLAN erhält, überprüfen Sie die RADIUS-Protokolle im Purple-Portal. Stellen Sie sicher, dass das Attribut „Tunnel-Private-Group-ID“ korrekt als String formatiert ist und mit einem VLAN übereinstimmt, das tatsächlich auf dem mit dem AP verbundenen Switch-Port existiert. Wenn Sie HMAC-Digest-Fehler in den WatchGuard-Protokollen sehen, stimmt Ihr Captive Portal Shared Secret zwischen WatchGuard und Purple nicht überein. Es muss in beiden Systemen Zeichen für Zeichen identisch sein. Zeit für eine schnelle Fragerunde. Frage: Kann ich PPSK und das Captive Portal auf derselben SSID verwenden? Antwort: Nein. WatchGuard unterstützt es nicht, Dynamic VLANs über PPSK und ein Captive Portal gleichzeitig auf derselben SSID zu betreiben. Sie benötigen eine SSID für das Portal und eine separate SSID für PPSK. Planen Sie Ihre SSID-Architektur entsprechend. Frage: Was passiert, wenn der RADIUS-Server keine VLAN-ID für einen PPSK-Benutzer zurückgibt? Antwort: In der WatchGuard Cloud konfigurieren Sie eine Fallback-Option für nicht zugewiesene Clients. Sie können diese in ein untagged VLAN oder ein bestimmtes isoliertes Quarantäne-VLAN verschieben, um sicherzustellen, dass sie keinen Zugriff auf das Unternehmensnetzwerk erhalten. Konfigurieren Sie diesen Fallback immer, um versehentlichen Zugriff zu verhindern. Zusammenfassend lässt sich sagen, dass die Integration von WatchGuard Firebox mit Purple Ihnen eine einheitliche Plattform für Sicherheit, Identität und Analysen in Guest-, Mitarbeiter- und Multi-Tenant-Netzwerken bietet. Sie nutzen die externe Captive Portal-Weiterleitung für Gäste, 802.1X für Mitarbeiter und PPSK mit dynamischen VLANs für Multi-Tenant-Umgebungen. Der ROI ist klar. Sie senken die Hardwarekosten durch die Konsolidierung von Gateways, vereinfachen die Verwaltung über eine einzige Cloud-Plattform und steigern den Umsatz, indem Sie First-Party-Daten über das Purple Captive Portal erfassen. Ihre nächsten Schritte bestehen darin, Ihre aktuelle SSID-Architektur zu überprüfen, sicherzustellen, dass Ihre WatchGuard-Firmware auf Version 2.6 oder höher ist, und mit der Konfiguration Ihrer RADIUS-Einstellungen im Purple-Portal zu beginnen. Vielen Dank fürs Zuhören.

header_image.png

Management-Zusammenfassung

Die Bereitstellung einer sicheren, skalierbaren Wireless-Infrastruktur in komplexen Umgebungen erfordert eine präzise Integration zwischen Ihrem Security Gateway und Ihrem Identity Provider. Dieser Leitfaden beschreibt die Integration von WatchGuard Firebox und WatchGuard Access Points mit Purple und deckt drei verschiedene Zugriffsebenen ab: die Weiterleitung zum Captive Portal für Guest WiFi (/guest-wifi), sicheres Mitarbeiter-WiFi mittels IEEE 802.1X sowie die Segmentierung von Multi-Tenant WiFi über WatchGuard Private Pre-Shared Keys (PPSK).

Durch die Kombination der einheitlichen Sicherheitsplattform von WatchGuard mit dem Cloud-Overlay von Purple automatisieren Sie die identitätsbasierte Zugriffskontrolle, setzen granulare Sicherheitsrichtlinien durch und erfassen First-Party-Daten im großen Stil. Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Purple-Daten). Die Integration ist herstellerunabhängig konzipiert – WatchGuard steht in der Liste der von Purple unterstützten Hardware neben Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Für einen breiteren Überblick über Sicherheitsstandards für Unternehmens-WiFi lesen Sie unseren Leitfaden Enterprise WiFi Security: A Complete Guide for 2026 .

architecture_overview.png

Technische Architektur

Die Integration verbindet WatchGuard-Hardware über zwei Standardmechanismen mit den Cloud-Diensten von Purple: RADIUS (Remote Authentication Dial-In User Service) für Authentifizierung und Accounting sowie HTTP-Weiterleitung zur Bereitstellung des Captive Portals. Die Architektur unterstützt drei Zugriffsebenen auf einer einzigen physischen Infrastruktur.

Zugriffsebene SSID-Typ Authentifizierungsmethode Purple-Rolle
Guest WiFi Offen Externes Captive Portal + RADIUS-Accounting Splash Page, Datenerfassung, Analysen
Staff WiFi WPA3-Enterprise 802.1X (EAP-TLS oder PEAP) RADIUS-Server, Identity-Provider-Proxy
Multi-Tenant WiFi WPA2/WPA3 Personal + PPSK Über RADIUS validiertes PPSK Schlüsselverwaltung, dynamische VLAN-Zuweisung

Alle drei Ebenen können gleichzeitig auf derselben WatchGuard Access Point-Flotte betrieben werden. Die Wi-Fi 6-Modelle von WatchGuard – AP130, AP230W, AP330, AP332CR, AP430CR und AP432 – unterstützen PPSK ab der Firmware-Version 2.6.

Konfiguration der Captive Portal-Weiterleitung für Guest WiFi

Die WatchGuard Captive Portal-Integration leitet nicht authentifizierte HTTP-Anfragen an die von Purple gehostete Splash Page weiter. Dies ist der primäre Mechanismus zur Erfassung von First-Party-Daten und zur Durchsetzung von Nutzungsbedingungen.

Schritt 1: Konfiguration des RADIUS-Servers

Definieren Sie in der WatchGuard Cloud oder im Firebox Policy Manager Purple als Server für RADIUS-Authentifizierung und RADIUS-Accounting.

  • Primary RADIUS server: Setzen Sie dies auf die Purple RADIUS-IP-Adresse für Ihre Region (verfügbar im Purple-Portal unter Settings > Hardware Integration).
  • Authentication port: 1812
  • Accounting port: 1813
  • Shared secret: Geben Sie das eindeutige Secret ein, das im Purple-Portal bereitgestellt wird.
  • NAS ID: Setzen Sie dies auf die MAC-Adresse der Firebox oder des APs unter Verwendung des Formatbezeichners %m. Dies identifiziert den Standort gegenüber Purple und leitet die Analysen an das richtige Konto weiter.
  • Accounting interval: Auf 10 Minuten festlegen, um sicherzustellen, dass Sitzungsdaten in regelmäßigen Abständen an das Analyse-Dashboard von Purple übermittelt werden.

Step 2: SSID and captive portal settings

Navigieren Sie in der WatchGuard Cloud zu Configure > Devices > [Ihr AP] > Device Configuration > SSIDs. Erstellen oder bearbeiten Sie die Guest-SSID.

  • Security: Open (kein Pre-Authentication-Passwort).
  • Captive portal type: Wählen Sie Third-Party Hosted Captive Portal with RADIUS Authentication.
  • Splash Page URL: Geben Sie die Purple-Splash-Page-URL ein (z. B. https://wifi.mypurple.com/splash). Sie finden diese unter Purple > Analyze > Portals.
  • Shared secret: Geben Sie das Shared Secret des Portals von derselben Seite „Purple Analyze Portals“ ein. Dieses Secret generiert den HMAC-SHA1-Digest, den WatchGuard verwendet, um die erfolgreiche Authentifizierungsantwort von Purple zu validieren.

Step 3: Walled Garden configuration

Der Walled Garden definiert, auf welche Domains ein Gerät vor Abschluss der Authentifizierung zugreifen kann. Ohne diesen Eintrag kann das Gerät die Purple-Splash-Page nicht laden. Fügen Sie die folgenden Einträge zu Websites that users can access before login hinzu:

  • *.mypurple.com
  • api.mypurple.com
  • cdn.mypurple.com
  • assets.mypurple.com

Wenn Sie Social-Logins oder föderierte Logins über Microsoft Entra ID, Okta oder Google Workspace aktivieren, fügen Sie die entsprechenden Identity-Provider-Domains hinzu (z. B. login.microsoftonline.com, accounts.google.com). Rechtliche und Compliance-Informationen zu gemeinsam genutzten WiFi-Infrastrukturen finden Sie in unserem Leitfaden über Legal and Compliance Requirements for Shared WiFi Infrastructure .

How the HMAC authentication flow works

Das Verständnis dieses Ablaufs hilft Ihnen, Fehler schnell zu diagnostizieren.

  1. Das Gastgerät verbindet sich mit der offenen SSID und sendet eine HTTP-Anfrage.
  2. Der WatchGuard AP fängt die Anfrage ab und leitet den Browser auf die URL der Purple-Splash-Page weiter, wobei er einen Parameter challenge (eine zufällige Hex-Zeichenfolge) und die MAC-Adresse des Geräts anhängt.
  3. Purple zeigt die Splash Page an. Der Gast füllt das Anmeldeformular aus.
  4. Purple generiert einen HMAC-SHA1-Digest unter Verwendung des Shared Secrets des Portals und des Challenge-Werts.
  5. Purple leitet den Browser zurück zur Login-URL des WatchGuard APs weiter und hängt die Challenge und den Digest an.
  6. Der WatchGuard AP validiert den Digest mit demselben Shared Secret. Wenn er übereinstimmt, gewährt der AP Internetzugang und sendet ein RADIUS-Accounting-Start-Paket an Purple.

Secure Staff WiFi with 802.1X

Für Staff WiFi ersetzen Sie das Captive Portal durch IEEE 802.1X – den Enterprise-Standard für portbasierte Netzwerkzugriffskontrolle. Jedes Teammitglied authentifiziert sich mit individuellen Anmeldedaten oder einem Zertifikat, wodurch das Risiko geteilter Passwörter eliminiert wird.

Konfigurieren Sie in der WatchGuard Cloud die Staff SSID mit WPA3 Enterprise-Sicherheit und verweisen Sie bei Authentication Domain auf den RADIUS-Server von Purple. Purple fungiert als RADIUS-Server und kann Authentifizierungsanfragen via SAML oder LDAP an Microsoft Entra ID, Okta oder Google Workspace weiterleiten.

Für die zertifikatsbasierte Authentifizierung (EAP-TLS) stellen Sie Client-Zertifikate über Ihr MDM auf verwalteten Geräten bereit. Für die auf Anmeldedaten basierende Authentifizierung (PEAP-MSCHAPv2) authentifizieren sich Benutzer mit ihren Verzeichnis-Anmeldedaten. Purple validiert die Anfrage gegenüber dem konfigurierten Identity Provider und gibt ein RADIUS Access-Accept oder Access-Reject an den WatchGuard AP zurück.

Eine detaillierte Anleitung zur 802.1X-Konfiguration für verschiedene Gerätetypen finden Sie in unserem Leitfaden zu 802.1X authentication: securing network access on modern devices .

Wichtiger Hinweis zur MAC-Randomisierung: Moderne iOS- und Android-Geräte randomisieren standardmäßig ihre MAC-Adressen. Weisen Sie Mitarbeiter für das 802.1X Staff WiFi an, die MAC-Randomisierung für die Staff SSID zu deaktivieren. Randomisierte MACs führen zu inkonsistenten Authentifizierungsprotokollen und verhindern die Durchsetzung von MAC-basierten Richtlinien.

Multi-Tenant-WiFi mit WatchGuard PPSK

Das Ausstrahlen einer separaten SSID pro Mieter in einem Einkaufszentrum, Coworking-Space oder einer Build-to-Rent-Immobilie (BTR) verursacht Co-Channel-Interferenzen und überlastet die RF-Umgebung. WatchGuard PPSK (Private Pre-Shared Key) – eingeführt in der AP-Firmware v2.6 – löst dies, indem jedem Benutzer oder Mieter auf einer einzigen SSID ein eindeutiges Passwort zugewiesen wird.

ppsk_vlan_segmentation_chart.png

Schritt 1: PPSK auf der SSID aktivieren

Bearbeiten Sie in der WatchGuard Cloud die Ziel-SSID (z. B. Venue-WiFi).

  • Security: WPA2 Personal oder WPA3 Personal.
  • Authentication: Aktivieren Sie Private Pre-Shared Key (PPSK).
  • RADIUS server: Verweisen Sie auf den RADIUS-Server von Purple. Purple verwaltet den PPSK-Anmeldedatenspeicher und gibt bei der Authentifizierung VLAN-Attribute zurück.

Schritt 2: Dynamische VLAN-Zuweisung konfigurieren

Um den Datenverkehr der Mieter zu isolieren, weist der WatchGuard AP basierend auf dem verwendeten PPSK ein bestimmtes VLAN zu.

  • VLAN setting: Wählen Sie Dynamic VLAN assigned by RADIUS.
  • Unassigned clients fallback: Wählen Sie ein isoliertes Quarantäne-VLAN (z. B. VLAN 999), um sicherzustellen, dass Geräte, bei denen die RADIUS-Validierung fehlschlägt, nicht auf das Unternehmensnetzwerk zugreifen können.

Anforderungen für dynamische VLANs auf WatchGuard Access Points:

  • AP-Firmware v2.2 oder höher.
  • NAT muss auf der SSID deaktiviert sein.
  • Dynamische VLANs und das Captive Portal können nicht gleichzeitig auf derselben SSID betrieben werden.
  • Der mit dem AP verbundene Switch-Port muss als Trunk-Port konfiguriert sein, der alle relevanten VLANs überträgt.

Schritt 3: RADIUS-Attribute für VLAN-Steuerung

Wenn sich ein Benutzer über einen PPSK verbindet, sendet der WatchGuard AP einen RADIUS Access-Request an Purple. Purple validiert den Schlüssel und gibt ein Access-Accept-Paket zurück, das drei IETF-RADIUS-Attribute enthält:

RADIUS-Attribut Attributnummer Wert
Tunnel-Type 64 13 (VLAN)
Tunnel-Medium-Type 65 6 (802)
Tunnel-Private-Group-ID 81 VLAN ID (z. B. "100")

Der WatchGuard AP liest das Attribut 81 aus und weist den Client dem entsprechenden VLAN zu. In Purple weisen Sie jedem PPSK-Credential eine bestimmte VLAN ID und eine Rolle zu. Dies ist der Mechanismus hinter Identity-Based Networks – das Credential bestimmt das Netzwerksegment, nicht die SSID.

Best Practices für die Implementierung

Diese Empfehlungen gelten für Implementierungen in den Bereichen Hotellerie , Einzelhandel , Gesundheitswesen und Transportwesen .

Sitzungs-Timeouts: Konfigurieren Sie Sitzungs-Timeouts sowohl in Purple als auch in WatchGuard, um eine erneute Authentifizierung in regelmäßigen Abständen zu erzwingen. Dies hält die Analysen präzise und verhindert, dass veraltete Sitzungen Bandbreite verbrauchen. Stellen Sie den Wert für RADIUS Interim-Update (Acct-Interim-Interval) auf 600 Sekunden (10 Minuten) ein.

Firmware-Management: Stellen Sie sicher, dass auf den WatchGuard Access Points die Firmware v2.6 oder höher ausgeführt wird, um PPSK zu unterstützen. Nutzen Sie die WatchGuard Cloud, um Firmware-Upgrades außerhalb der Stoßzeiten zu planen, um Abdeckungslücken zu vermeiden.

PCI DSS-Compliance: Isolieren Sie in Einzelhandelsumgebungen, in denen Kartenzahlungen verarbeitet werden, POS-Geräte mithilfe von PPSK in einem dedizierten VLAN (z. B. VLAN 200). Stellen Sie sicher, dass das Guest WiFi VLAN kein Routing zum POS-VLAN besitzt. Dies unterstützt die Anforderungen zur Netzwerksegmentierung gemäß PCI DSS.

GDPR und Datenerfassung: Das Captive Portal von Purple nutzt bewusste Opt-ins (Conscious-Choice), um sicherzustellen, dass die Datenerfassung den GDPR-Anforderungen entspricht. Purple ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Stellen Sie sicher, dass Ihre Splash Page einen klaren Datenschutzhinweis und einen Link zu den Nutzungsbedingungen enthält, bevor die Datenerfassung beginnt.

Fehlerbehebung und Risikominderung

Captive Portal lädt nicht: Der Walled Garden ist die erste Anlaufstelle für die Fehlersuche. Wenn das Gerät vor der Authentifizierung keine DNS-Auflösung durchführen oder die Server von Purple nicht erreichen kann, zeigt der Browser anstelle der Splash Page einen Timeout-Fehler an. Überprüfen Sie, ob alle Purple-Domains in der Walled Garden-Liste eingetragen sind und ob die WatchGuard-DNS-Einstellungen die Auflösung vor der Authentifizierung zulassen.

Fehler bei der HMAC-Digest-Validierung: Wenn die WatchGuard-Protokolle Authentifizierungsfehler mit HMAC-Fehlern aufweisen, stimmt das Shared Secret des Captive Portals zwischen WatchGuard und Purple nicht überein. Es muss in beiden Systemen identisch sein. Generieren Sie das Secret in Purple neu und geben Sie es in der WatchGuard Cloud erneut ein.

VLAN-Steering schlägt fehl: Wenn ein PPSK-Benutzer eine IP aus dem falschen VLAN erhält, überprüfen Sie die RADIUS-Protokolle im Purple-Portal. Stellen Sie sicher, dass Purple alle drei IETF-RADIUS-Attribute zurückgibt. Vergewissern Sie sich, dass der Wert für Tunnel-Private-Group-ID als String formatiert ist und mit einer auf dem Switch-Trunk-Port konfigurierten VLAN-ID übereinstimmt.

Konflikt zwischen PPSK und Captive Portal: WatchGuard unterstützt keine dynamischen VLANs und Captive Portal auf derselben SSID. Wenn Sie beides benötigen, verwenden Sie zwei SSIDs: eine für das Gast-Captive Portal und eine für den PPSK-Multi-Tenant-Zugriff.

Fehler bei der 802.1X-Authentifizierung: Verwenden Sie das in der WatchGuard AP-Firmware v2.5 und höher verfügbare Paket-Erfassungstool, um den Datenverkehr zwischen dem AP und dem RADIUS-Server zu erfassen. Suchen Sie nach RADIUS Access-Reject-Paketen und dem Ursachencode im Reply-Message-Attribut.

ROI und geschäftlicher Nutzen

Die Integration von WatchGuard und Purple konsolidiert Sicherheit und Analysen in einer einzigen Architektur. Ein Hotel mit 200 Zimmern, das diese Integration nutzt, benötigt keine separaten Gateways für Gäste und Personal mehr, was die Hardwareausgaben im Vergleich zu einer Bereitstellung mit mehreren Gateways um ca. 30 % senkt (interne Daten von Purple). Das Gast-WiFi Captive Portal erfasst First-Party-Daten – E-Mail-Adressen, demografische Informationen und Besuchshäufigkeit –, die über den Engage-Tarif von Purple direkte Marketingeinnahmen generieren.

In Multi-Tenant-Umgebungen eliminiert PPSK den betrieblichen Aufwand für die Verwaltung mehrerer SSIDs. Ein Einkaufszentrum, das 15 Ladeneinheiten über eine einzige SSID verwaltet, reduziert die AP-Funkfrequenznutzung und vereinfacht Netzwerk-Audits. WiFi Analytics von Purple liefert Betreibern Daten zu Verweildauer, Besucherzahlen und wiederholten Besuchen – Kennzahlen, mit denen sich die Infrastrukturinvestition gegenüber Finanzteams rechtfertigen lässt.

Purple garantiert eine Betriebszeit von 99,999 % (interne Daten von Purple) und stellt so sicher, dass das Gast-WiFi Captive Portal auch in Spitzenzeiten an hochfrequentierten Orten wie Stadien und Konferenzzentren verfügbar bleibt.

Schlüsseldefinitionen

PPSK (Private Pre-Shared Key)

Ein Sicherheitsmerkmal, das jedem Benutzer oder Gerät auf einer WPA2/WPA3 Personal SSID ein eindeutiges Passwort zuweist. Eingeführt in der WatchGuard AP-Firmware v2.6.

Wird in Mandanten-Umgebungen – Einkaufszentren, Coworking-Spaces, BTR-Entwicklungen – verwendet, um Benutzer zu segmentieren, ohne dass eine 802.1X-Supplicant-Konfiguration auf den Client-Geräten erforderlich ist.

Dynamic VLAN steering

Der Prozess der Zuweisung eines Netzwerkgeräts zu einem bestimmten Virtual LAN basierend auf RADIUS-Attributen (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID), die während der Authentifizierung zurückgegeben werden.

Der Mechanismus, der den Datenverkehr von Mietern, Mitarbeitern und Gästen auf demselben physischen Access Point isoliert. Erfordert AP-Firmware v2.2 oder höher auf WatchGuard-Hardware.

Walled Garden

Eine Liste von IP-Adressen oder Domains, auf die ein nicht authentifizierter Benutzer zugreifen darf, bevor die Captive Portal-Authentifizierung abgeschlossen ist.

Erforderlich, damit Gastgeräte die Purple Splash Page laden und föderierte Logins (Microsoft Entra ID, Google Workspace) durchführen können, bevor der vollständige Internetzugang gewährt wird.

HMAC digest

Ein kryptografischer Hash (HMAC-SHA1), der verwendet wird, um die Integrität und Authentizität der Erfolgsmeldung der Authentifizierung vom Captive Portal zu überprüfen.

WatchGuard validiert den HMAC digest mithilfe des Captive Portal Shared Secret. Eine Abweichung zwischen dem Secret in WatchGuard und Purple führt zu Authentifizierungsfehlern.

RADIUS accounting

Die Komponente des RADIUS-Protokolls, die die Netzwerknutzung verfolgt, einschließlich Sitzungsstart, Sitzungsdauer und Datenübertragungsvolumen.

Purple ist auf RADIUS Accounting-Pakete von der WatchGuard Firebox angewiesen, um das Analytics-Dashboard zu füllen und Sitzungszeitlimits durchzusetzen. Arbeitet auf Port 1813.

Captive portal

Eine Webseite, auf die ein Gerät weitergeleitet wird, bevor ihm Zugriff auf ein öffentliches Netzwerk gewährt wird. WatchGuard fängt HTTP-Anfragen ab und leitet sie an die konfigurierte externe Portal-URL weiter.

Der primäre Mechanismus zur Erfassung von First-Party-Daten und zur Durchsetzung von Nutzungsbedingungen in Gast-WiFi-Netzwerken. Purple hostet die Splash Page und verwaltet die Daten.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle. Erfordert, dass sich jedes Gerät mit eindeutigen Anmeldedaten oder einem Zertifikat authentifiziert, bevor der Netzwerkzugriff gewährt wird.

Der Unternehmensstandard zur Sicherung von Mitarbeiter-WiFi. Eliminiert das Risiko gemeinsam genutzter Passwörter von WPA2 Personal. Erfordert einen RADIUS-Server (Purple) und einen Supplicant auf dem Client-Gerät.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Eine hochsichere 802.1X-Authentifizierungsmethode, die sowohl ein Client-Zertifikat als auch ein Server-Zertifikat für die gegenseitige Authentifizierung erfordert.

Wird in hochsicheren Umgebungen verwendet, in denen Geräte von einem MDM verwaltet werden. Stellt sicher, dass nur unternehmenseigene Geräte mit gültigen Zertifikaten eine Verbindung zur Mitarbeiter-WiFi SSID herstellen können.

NAS ID (Network Access Server Identifier)

Eine in RADIUS-Paketen gesendete Zeichenfolge, die das Netzwerkgerät (AP oder Firebox) identifiziert, das die Authentifizierungsanfrage stellt.

Purple verwendet die NAS ID, um zu identifizieren, von welchem Standort eine RADIUS-Anfrage stammt. Wird in WatchGuard typischerweise mit dem Platzhalter %m auf die AP-MAC-Adresse festgelegt.

Identity-Based Networking

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien, VLAN-Zuweisungen und Sicherheitskontrollen durch die Identität des Benutzers und nicht durch dessen physischen Port oder die SSID bestimmt werden.

Die Kombination aus WatchGuard PPSK, Purple RADIUS und Dynamic VLAN steering ermöglicht Identity-Based Networking – die Anmeldedaten bestimmen automatisch das Netzwerksegment.

Ausgearbeitete Beispiele

Ein Premier Inn Hotel mit 200 Zimmern muss Guest WiFi für Gäste, sicheres Staff WiFi für Front-of-House- und Back-Office-Teams sowie ein separates Netzwerk für IoT-Geräte (Smart-TVs, Türschlösser) bereitstellen. Sie verfügen über WatchGuard AP330 Access Points, die über die WatchGuard Cloud verwaltet werden, und ein Firebox T85 Gateway. Wie sollten sie die drei Netzwerke strukturieren?

Stellen Sie drei SSIDs auf den WatchGuard AP330 Access Points bereit. SSID 1: 'Premier-Guest' – offene SSID mit Weiterleitung an das externe Captive Portal von Purple. Konfigurieren Sie die Firebox T85 als RADIUS-Client, der auf die Server von Purple verweist (Port 1812/1813). Fügen Sie die Walled Garden Domains von Purple hinzu. Gäste authentifizieren sich über die Purple Splash-Page per E-Mail, Social Login oder Zimmercode. SSID 2: 'Premier-Staff' – WPA3-Enterprise SSID mit 802.1X-Authentifizierung. Verweisen Sie die Authentifizierungsdomäne auf den RADIUS-Server von Purple, der die Anmeldedaten an den Microsoft Entra ID Tenant des Hotels weiterleitet. Mitarbeiter authentifizieren sich mit ihren Unternehmens-Anmeldedaten. SSID 3: 'Premier-IoT' – WPA2 Personal SSID mit einem statischen PSK, platziert in einem dedizierten VLAN (z. B. VLAN 50) mit Firewall-Regeln, die den Zugriff auf die Mitarbeiter- und Gäste-VLANs blockieren. Die Firebox T85 erzwingt die Inter-VLAN-Routing-Richtlinien. Alle drei SSIDs senden auf derselben AP-Hardware, was die Infrastrukturkosten senkt.

Kommentar des Prüfers: Diese Architektur folgt dem Prinzip der geringsten Rechte. Jede Zugriffsebene verfügt über den minimalen Netzwerkzugriff, der für ihre Funktion erforderlich ist. Die IoT-SSID verwendet einen statischen PSK anstelle von PPSK, da IoT-Geräte in der Regel keine dynamische Rotation von Anmeldedaten verarbeiten können. Die entscheidende Designentscheidung ist die Nutzung von Purple als RADIUS-Server sowohl für die Gäste- als auch für die Mitarbeiterebene, was das Identitätsmanagement und die Analysen auf einer einzigen Plattform zentralisiert.

Ein Einkaufszentrum mit 12 Ladenlokalen möchte jedem Mieter einen isolierten WiFi-Zugang über eine einzige SSID bereitstellen. Das Zentrum muss zudem sicherstellen, dass kompromittierte Anmeldedaten eines Mieters nicht den Datenverkehr anderer Mieter gefährden. Sie betreiben WatchGuard AP230W Access Points mit der Firmware-Version 2.6.

Konfigurieren Sie eine SSID: 'Centre-Retail' mit aktiviertem WPA2 Personal und PPSK. Erstellen Sie in Purple 12 eindeutige PPSK-Anmeldedaten, eine pro Mieter. Ordnen Sie alle Anmeldedaten einem dedizierten VLAN zu (z. B. VLAN 101 für Mieter 1, VLAN 102 für Mieter 2 usw.). Stellen Sie in der WatchGuard Cloud das SSID-VLAN auf 'Dynamic VLAN assigned by RADIUS' mit einem Fallback auf ein Quarantäne-VLAN (VLAN 999) ein. Konfigurieren Sie die Switch-Ports, die mit dem AP230W verbunden sind, als Trunk-Ports, die die VLANs 101-112 und 999 übertragen. Wenn sich das Gerät eines Mieters mit dessen PPSK verbindet, fragt der AP den Purple RADIUS-Server ab, erhält das Attribut 'Tunnel-Private-Group-ID' und platziert das Gerät im richtigen VLAN. Kompromittierte Anmeldedaten für Mieter 3 legen nur das VLAN 103 offen – alle anderen Mieter bleiben isoliert.

Kommentar des Prüfers: PPSK bietet eine Isolierung pro Anmeldedaten ohne die Komplexität der 802.1X-Zertifikatsverwaltung. Die kritische Designentscheidung ist das Fallback-VLAN. Ohne ein konfiguriertes Quarantäne-VLAN könnte ein Gerät, bei dem die RADIUS-Validierung fehlschlägt, im standardmäßigen ungetaggten VLAN platziert werden und potenziell Zugriff auf die Verwaltungsinfrastruktur erhalten. Konfigurieren Sie das Fallback immer explizit.

Übungsfragen

Q1. Ein IT-Manager eines Hotels berichtet, dass sich Gäste mit dem WiFi verbinden, aber die Purple Splash Page nie erscheint. Der Browser zeigt einen Verbindungszeitüberschreitungsfehler an. Die WatchGuard Cloud-Konfiguration zeigt die korrekte Purple Splash Page-URL und das Shared Secret. Was ist die wahrscheinlichste Ursache und wie lösen Sie das Problem?

Hinweis: Überlegen Sie, was passieren muss, bevor das Gerät authentifiziert wird. Welche Domains muss das Gerät erreichen können, um die Splash Page zu laden?

Musterlösung anzeigen

Der Walled Garden fehlt oder ist unvollständig. Die WatchGuard Firebox blockiert die ursprüngliche HTTP-Anfrage des Geräts an die Server von Purple, bevor die Authentifizierung abgeschlossen ist. Fügen Sie die erforderlichen Purple Domains zur Liste der Websites hinzu, auf die Benutzer vor dem Login zugreifen können: *.mypurple.com, api.mypurple.com und cdn.mypurple.com. Wenn Gäste Social Logins verwenden, fügen Sie auch die entsprechenden Identity Provider-Domains hinzu (z. B. login.microsoftonline.com für Entra ID).

Q2. Sie konfigurieren eine PPSK-basierte VLAN-Steuerung für einen Coworking Space mit 8 Mitgliedern. Die RADIUS-Authentifizierung ist erfolgreich (die WatchGuard-Protokolle zeigen Access-Accept), aber jedes Mitgliedsgerät erhält eine IP-Adresse aus VLAN 1 (dem Standard-Management-VLAN) anstelle des zugewiesenen Tenant-VLANs. Wie diagnostizieren und beheben Sie dies?

Hinweis: Die Authentifizierung war erfolgreich, die Anmeldedaten sind also gültig. Das Problem liegt im Schritt der VLAN-Zuweisung. Was benötigt WatchGuard vom RADIUS-Server, um ein VLAN zuzuweisen?

Musterlösung anzeigen

Das RADIUS-Access-Accept-Paket von Purple fehlt oder formatiert die VLAN-Attribute fehlerhaft. Erfassen Sie den RADIUS-Datenverkehr auf dem AP mit dem WatchGuard-Paketerfassungstool und überprüfen Sie das Access-Accept-Paket. Stellen Sie sicher, dass Purple alle drei IETF-Attribute zurückgibt: Tunnel-Type (Attribut 64, Wert 13), Tunnel-Medium-Type (Attribut 65, Wert 6) und Tunnel-Private-Group-ID (Attribut 81, eingestellt auf die VLAN-ID als String, z. B. '101'). Bestätigen Sie außerdem, dass der mit dem AP verbundene Switch-Port als Trunk-Port konfiguriert ist, der die relevanten VLANs überträgt, und dass die SSID-VLAN-Einstellung in WatchGuard Cloud auf 'Dynamic VLAN assigned by RADIUS' anstelle einer statischen VLAN-ID eingestellt ist.

Q3. Ein Veranstalter möchte ein Guest WiFi Captive Portal (Purple Splash Page) und ein Multi-Tenant-PPSK-Netzwerk für 6 Einzelhandelsgeschäfte auf demselben WatchGuard AP330 Access Point betreiben. Es ist geplant, beide Funktionen auf einer einzigen SSID zu konfigurieren, um die HF-Umgebung zu vereinfachen. Ist dies möglich? Wenn nicht, wie sieht die korrekte Architektur aus?

Hinweis: Überprüfen Sie die WatchGuard-Anforderungen für dynamische VLANs. Gibt es Funktionskonflikte?

Musterlösung anzeigen

Dies ist auf einer einzigen SSID nicht möglich. WatchGuard unterstützt Dynamic VLANs (erforderlich für PPSK) und Captive Portal nicht gleichzeitig auf derselben SSID. Die korrekte Architektur nutzt zwei SSIDs: SSID 1 ('Venue-Guest'), konfiguriert als offene SSID mit externer Captive Portal-Weiterleitung zu Purple für öffentliche Gäste. SSID 2 ('Venue-Retail'), konfiguriert mit WPA2 Personal, aktiviertem PPSK und dynamischer VLAN-Zuweisung für die 6 Einzelhandelsmieter. Beide SSIDs senden von derselben AP330-Hardware aus, sodass die HF-Auswirkung auf ein zusätzliches SSID-Beacon begrenzt ist. Der mit dem AP verbundene Switch-Port muss ein Trunk-Port sein, der alle relevanten VLANs für beide SSIDs überträgt.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →