Zum Hauptinhalt springen
Deutsch

Zyxel Nebula Cloud and USG Integration with Purple WiFi

Diese technische Referenzanleitung beschreibt die durchgehende Integration von Zyxel Nebula Cloud und USG Flex Firewalls mit der Purple WiFi Plattform. Sie bietet Schritt-für-Schritt-Konfigurationsanweisungen für die Weiterleitung zum Guest Captive Portal, RADIUS-Authentifizierung, Walled Garden-Einrichtung, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerksegmentierung mit Zyxel Private Pre-Shared Keys (PPSK) mit dynamischer VLAN-Zuweisung. IT-Manager, MSPs und Netzwerkarchitekten, die WiFi in der Hotellerie, im Einzelhandel und an mandantenfähigen Standorten bereitstellen, finden hier praxisnahe Anleitungen auf der Grundlage von Branchenstandards wie PCI DSS, IEEE 802.1X und GDPR.

📖 9 Min. Lesezeit📝 2,234 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Host und heute behandeln wir ein entscheidendes Bereitstellungsszenario für IT-Manager und Netzwerkarchitekten: die Integration von Zyxel Nebula Cloud und USG Flex Firewalls mit Purple WiFi. Wenn Sie Gäste-WiFi in einer Hotelkette, im Einzelhandel oder in einer mandantenfähigen Umgebung bereitstellen, ist diese Episode genau das Richtige für Sie. Lassen Sie uns direkt in die Architektur einsteigen. Zuerst: Warum diese Integration? Zyxel bietet robuste Hardware und Nebula bietet ein zentralisiertes Cloud-Management. Aber wenn Sie WiFi in großem Stil bereitstellen – sagen wir in 50 Einzelhandelsfilialen oder einem Hotel mit 200 Zimmern –, benötigen Sie mehr als nur grundlegende Konnektivität. Sie benötigen einen strukturierten Authentifizierungsfluss, eine konforme Datenerfassung und eine dynamische Netzwerksegmentierung. Genau hier kommt Purple ins Spiel. Wir integrieren uns über RADIUS und die Weiterleitung an ein externes Captive Portal in Zyxel, um identitätsbasierte Netzwerke bereitzustellen. Lassen Sie uns die Kernkonfiguration auf Zyxel Nebula durchgehen. Der Prozess beginnt mit Ihren SSID-Einstellungen. Sie navigieren zu „Site-wide“, „Configure“, „Access points“ und dann zu „SSID advanced settings“. Hier aktivieren Sie die URL für das externe Captive Portal. Sie geben die spezifische Purple-Weiterleitungs-URL ein, die in Ihrem Purple-Portal bereitgestellt wird. Aber die Weiterleitung allein reicht nicht aus; Sie müssen den Walled Garden konfigurieren. Der Walled Garden definiert, welche Domains ein Gästegerät vor der Authentifizierung erreichen kann. Dies ist eine häufige Fehlerquelle. Sie müssen die Purple-Portal-Domains, alle Asset-CDNs und die standardmäßigen OS-Endpunkte zur Erkennung von Captive Portals auf die Whitelist setzen. In Nebula fügen Sie diese Domains Zeile für Zeile hinzu. Wenn Sie eine Domain vergessen, wird die Splash-Page nicht richtig geladen und Ihre Gäste sitzen fest. Als Nächstes konfigurieren wir den RADIUS-Server. In den „SSID advanced settings“ wählen Sie „WPA2-Enterprise“ mit „My RADIUS server“ oder konfigurieren die MAC-basierte Authentifizierung, je nach Ihrem Ablauf. Sie geben die Purple RADIUS-IP-Adresse ein, setzen den Authentifizierungsport auf 1812, den Accounting-Port auf 1813 und geben das Shared Secret ein. Konfigurieren Sie immer auch den Backup-RADIUS-Server, um eine hohe Verfügbarkeit zu gewährleisten. Lassen Sie uns nun ein fortgeschritteneres Szenario besprechen: die mandantenfähige Segmentierung mit Zyxel Private Pre-Shared Keys oder PPSK. In Umgebungen wie Studentenwohnheimen oder Coworking-Spaces möchten Sie eine einzige SSID nutzen, müssen aber den Datenverkehr pro Mandant isolieren. Zyxel PPSK ermöglicht es Ihnen, jedem Benutzer ein eindeutiges WiFi-Passwort zuzuweisen. Wenn sie sich verbinden, weist der Nebula-Controller ihnen basierend auf diesem Passwort dynamisch ein bestimmtes VLAN zu. Sie konfigurieren dies unter „Cloud Authentication“, indem Sie „DPPSK“ auswählen und die entsprechende VLAN-ID zuweisen. Dies reduziert den SSID-Overhead und verbessert die Sicherheit erheblich. Wie sieht es mit der USG Flex Firewall aus? Wenn Sie das Gateway vor Ort betreiben, müssen Sie sicherstellen, dass Ihre Firewall-Regeln und Zonen-Richtlinien mit Ihren Wireless-Segmenten übereinstimmen. In der Regel erstellen Sie dedizierte Zonen für Guest-, Staff- und Multi-Tenant-Datenverkehr. Die Guest-Zone darf nur über einen ausgehenden Internetzugang verfügen, mit strengen Regeln, die den Zugriff auf die LAN- oder DMZ-Zonen blockieren. Kommen wir nun zu den Empfehlungen für die Implementierung und den häufigen Fehlern. Das am häufigsten auftretende Problem ist eine Fehlkonfiguration des Walled Garden. Wenn sich ein Gast verbindet und eine leere Seite sieht, überprüfen Sie Ihre Whitelist. Nutzen Sie die Entwicklertools des Browsers, um blockierte CDN-Anfragen zu identifizieren. Das zweite Problem sind RADIUS-Timeouts. Stellen Sie sicher, dass Ihre Upstream-Firewalls die UDP-Ports 1812 und 1813 ausgehend zur Purple-Cloud-Plattform zulassen. Zeit für ein schnelles Q&A. Frage eins: Benötige ich ein dediziertes VLAN für Guest WiFi? Antwort: Ja. Isolieren Sie den Gast-Datenverkehr immer in einem dedizierten VLAN. Dies ist für die PCI-DSS-Compliance zwingend erforderlich, wenn Ihr Standort Zahlungen über dieselbe physische Infrastruktur abwickelt. Frage zwei: Kann ich Purple mit eigenständigen Zyxel-APs ohne Nebula verwenden? Antwort: Ja, aber die Verwaltung der RADIUS- und Portaleinstellungen pro AP ist ineffizient. Wir empfehlen dringend die Verwendung des Nebula Control Center für eine zentrale Verwaltung. Frage drei: Wie geht Purple mit der Randomisierung von MAC-Adressen um? Antwort: Purple verlässt sich auf die MAC-Adresse, die vom Zyxel-Controller über das RADIUS-Accounting bereitgestellt wird. Während Geräte ihre MAC-Adressen pro Netzwerk randomisieren, behalten sie dieselbe MAC für Ihre spezifische SSID bei, was eine Sitzungspersistenz während ihres Besuchs ermöglicht. Zusammenfassend lässt sich sagen: Die Integration von Zyxel Nebula mit Purple erfordert eine präzise Konfiguration der externen Captive Portal-URL, einen umfassenden Walled Garden und genaue RADIUS-Einstellungen. Nutzen Sie bei Multi-Tenant-Standorten Zyxel PPSK für dynamisches VLAN-Steering. Wenn Sie diese Elemente richtig einrichten, bieten Sie ein sicheres, skalierbares WiFi-Erlebnis, das wertvolle First-Party-Daten erfasst. Wenn Sie ein Deployment planen, lesen Sie den vollständigen technischen Leitfaden für Schritt-für-Schritt-Anleitungen und Architekturdiagramme. Vielen Dank fürs Zuhören und bis zum nächsten technischen Briefing.

header_image.png

Executive Summary

Zyxel Nebula Cloud- und USG Flex Firewalls sind in Tausenden von Unternehmensstandorten im Einsatz, von Hotelketten bis hin zu Einzelhandelsflächen. Durch die Integration dieser Hardware mit Purple fügen Sie eine konforme, datenerfassende Gast-Authentifizierungsebene hinzu, die ein Standard-Drahtlosnetzwerk in ein First-Party-Daten-Asset verwandelt. Dieser Leitfaden deckt vier Bereitstellungsszenarien ab: Weiterleitung zum Gast-Captive Portal über eine externe Splash Page, RADIUS-basierte Authentifizierung und Accounting, sicheres Mitarbeiter-WiFi mittels IEEE 802.1X und mandantenfähige Netzwerksegmentierung mit Zyxel Dynamic Personal Pre-Shared Keys (DPPSK). Purple ist an über 80.000 Live-Standorten im Einsatz und verarbeitete im Jahr 2024 440 Millionen Logins (interne Purple-Daten). Das System ist nach ISO 27001, GDPR, CCPA und Cyber Essentials zertifiziert. Die hier beschriebene Integrationsarchitektur ist auf Plattformebene hardwareunabhängig, die spezifischen Konfigurationspfade und -parameter in diesem Leitfaden gelten jedoch für das Zyxel Nebula Control Center (NCC) und USG Flex Firewalls mit aktueller Firmware.

Für eine umfassendere Ansicht der WiFi-Sicherheitsarchitektur in Unternehmen lesen Sie unseren Enterprise WiFi Security: A Complete Guide for 2026 .

Technischer Deep-Dive

Integrationsarchitektur

Die Integration von Zyxel und Purple basiert auf drei Standardprotokollen, die nacheinander ablaufen: HTTP-Redirect (Captive Portal-Erkennung), RADIUS-Authentifizierung (UDP 1812) und RADIUS-Accounting (UDP 1813). Wenn sich ein Gastgerät mit der Gast-WiFi-SSID verbindet, fängt der Zyxel Access Point die erste HTTP-Anfrage ab und leitet sie per HTTP 302-Redirect an die externe Captive Portal-URL von Purple weiter. Der Gast authentifiziert sich auf der Purple Splash Page – per E-Mail, Social Login oder SMS – und Purple sendet eine RADIUS-Access-Accept-Nachricht zurück an den Zyxel-Controller. Der Controller gibt den Internetzugang frei und beginnt mit dem Senden von RADIUS-Accounting-Start-Paketen, um die Sitzungsdaten zu erfassen.

architecture_overview.png

Die Zyxel USG Flex Firewall befindet sich zwischen den Drahtlossegmenten und dem WAN. Sie erzwingt zonenbasierte Sicherheitsrichtlinien, die Gast-, Mitarbeiter- und mandantenfähige VLANs voneinander und vom Unternehmens-LAN isolieren. Das Nebula Control Center verwaltet die Access Points und SSID-Konfigurationen zentral über HTTPS auf Port 443 zur Nebula-Cloud.

RADIUS-Parameter

Die folgende Tabelle fasst die RADIUS-Konfigurationsparameter zusammen, die Sie aus Ihrer Purple-Administrationskonsole benötigen.

Parameter Wert
Primäre RADIUS-IP In der Purple-Administrationskonsole bereitgestellt
Sekundäre RADIUS-IP In der Purple-Administrationskonsole bereitgestellt
Authentifizierungsport UDP 1812
Accounting-Port UDP 1813
Shared secret Wird in der Purple-Admin-Konsole bereitgestellt
NAS identifier Auf AP-MAC-Adresse oder Standortnamen einstellen
Called Station ID AP-MAC-Adresse

Konfigurieren Sie immer sowohl primäre als auch sekundäre RADIUS-Server. Ein einzelner RADIUS-Endpunkt stellt einen Single Point of Failure dar, der Gäste ausschließt, wenn der Server nicht erreichbar ist.

Walled Garden-Konfiguration

Der Walled Garden (auch Whitelist genannt) definiert die Domains und IP-Bereiche, die ein Gerät vor der Authentifizierung erreichen kann. In Zyxel Nebula konfigurieren Sie dies unter Site-wide > Configure > Access points > Captive portal customisation > Captive portal advance setting.

Sie müssen folgende Kategorien von Einträgen hinzufügen:

  • Die Purple-Portal-Domain und alle Subdomains (verwenden Sie das Wildcard-Format: *.purple.ai)
  • CDN-Domains, die CSS-, JavaScript- und Bild-Assets des Portals bereitstellen
  • Domains von Social-Login-Anbietern, falls Sie die Anmeldung über Facebook, Google oder Microsoft aktivieren
  • Apple Captive Portal-Erkennung: captive.apple.com
  • Google-Verbindungstest: connectivitycheck.gstatic.com
  • Microsoft NCSI: www.msftconnecttest.com

Wenn einer dieser Einträge fehlt, wird die Splash-Page auf bestimmten Gerätetypen nicht gerendert. Insbesondere iOS-Geräte zeigen einen leeren Mini-Browser an, wenn der Apple CNA-Endpunkt nicht korrekt verarbeitet wird.

Sicheres Mitarbeiter-WiFi mit IEEE 802.1X

Für Mitarbeiternetzwerke sollten Sie keinen gemeinsamen PSK verwenden. IEEE 802.1X (definiert im Standard IEEE 802.1X-2020) bietet eine portbasierte Netzwerkzugriffskontrolle mit individuellen Anmeldedaten pro Benutzer. In Nebula konfigurieren Sie dies, indem Sie die SSID-Sicherheit auf WPA2-Enterprise einstellen und die Authentifizierung entweder auf den Nebula Cloud Authentication Server (NCAS) oder einen externen RADIUS-Server wie Microsoft Entra ID oder Okta über einen RADIUS-Proxy leiten.

Für WPA3-Enterprise-Bereitstellungen ist der Konfigurationspfad identisch, Sie wählen jedoch WPA3 in den Sicherheitsoptionen aus. WPA3 schreibt Protected Management Frames (PMF) vor und verwendet Simultaneous Authentication of Equals (SAE) für eine verbesserte Resistenz gegen Offline-Wörterbuchangriffe.

PPSK und dynamische VLAN-Zuweisung für mandantenfähige Standorte

ppsk_vlan_diagram.png

Zyxel DPPSK (Dynamic Personal Pre-Shared Key) ermöglicht es einer einzelnen SSID, mehrere isolierte Netzwerksegmente zu bedienen. Jeder Benutzer oder jedes Gerät erhält ein eindeutiges Passwort. Bei der Authentifizierung ordnet der Nebula-Controller dieses Passwort einer in der DPPSK-Datenbank definierten VLAN-ID zu. Dies ist der richtige Ansatz für Coworking Spaces, Studentenwohnheime, Mietwohnanlagen (Build-to-Rent, BTR) und Mehrfamilienhäuser (MDUs), bei denen eine Mandantentrennung erforderlich ist, ohne Dutzende von SSIDs auszustrahlen. DPPSK erfordert die Nebula Pro Pack-Lizenz und eine Access Point-Firmware-Version ab 6.00. Sie konfigurieren die DPPSK-Datenbank unter Konfigurieren > Cloud-Authentifizierung > DPPSK im Nebula Control Center. Jeder Eintrag enthält die Passphrase, ein optionales Ablaufdatum, eine E-Mail-Adresse für die Zustellung und die Ziel-VLAN-ID.

Die maximale Anzahl gleichzeitig autorisierter DPPSK-Einträge beträgt 2.048. Bei Bereitstellungen mit mehr als 2.048 gleichzeitigen Benutzern müssen Sie die Ablaufdaten sorgfältig verwalten, um sicherzustellen, dass die aktiven Anmeldedaten innerhalb dieses Limits bleiben.

Implementierungshandbuch

Schritt 1: Vorbereitung der Netzwerkinfrastruktur

Bevor Sie Änderungen im Nebula Control Center vornehmen, konfigurieren Sie Ihre VLANs auf der USG Flex-Firewall und den nachgeschalteten Switches.

  1. Erstellen Sie ein Gast-VLAN (Beispiel: VLAN 10) mit einem dedizierten Subnetz (Beispiel: 192.168.10.0/24). Konfigurieren Sie einen DHCP-Server auf dieser Schnittstelle.
  2. Erstellen Sie ein Mitarbeiter-VLAN (Beispiel: VLAN 20) mit einem dedizierten Subnetz (Beispiel: 192.168.20.0/24).
  3. Erstellen Sie bei mandantenfähigen Umgebungen zusätzliche VLANs pro Mandant (Beispiel: VLAN 30, 40, 50).
  4. Erstellen Sie auf der USG Flex eine dem VLAN 10 zugeordnete Gast-Zone. Erstellen Sie eine Sicherheitsrichtlinie, die den Datenverkehr von der Gast-Zone zur WAN-Zone zulässt. Erstellen Sie eine „Deny-All“-Richtlinie, die den Datenverkehr von der Gast-Zone zur LAN-Zone blockiert.
  5. Stellen Sie sicher, dass die Switch-Ports, die mit den Zyxel APs verbunden sind, als 802.1Q-Trunks konfiguriert sind, die alle erforderlichen VLAN-Tags übertragen.

Schritt 2: Konfigurieren der Gast-SSID im Nebula Control Center

  1. Melden Sie sich unter ncc.nebula.zyxel.com im Nebula Control Center an.
  2. Navigieren Sie zu Site-weit > Konfigurieren > Access Points > SSID-Einstellungen.
  3. Aktivieren Sie die Gast-SSID und schalten Sie den Erweiterten Modus ein.
  4. Aktivieren Sie das Gastnetzwerk, um die Layer-2-Client-Isolierung zu aktivieren. Dies verhindert, dass Gastgeräte auf derselben SSID direkt miteinander kommunizieren.
  5. Speichern Sie.

Schritt 3: Konfigurieren des externen Captive Portals

  1. Navigieren Sie zu Site-weit > Konfigurieren > Access Points > Erweiterte SSID-Einstellungen.
  2. Wählen Sie Ihre Gast-SSID aus dem Dropdown-Menü aus.
  3. Wählen Sie unter Anmeldemethode die Option Click-to-continue für die erste Weiterleitung oder Mein RADIUS-Server, wenn Sie die RADIUS-basierte MAC-Authentifizierung von Purple verwenden.
  4. Navigieren Sie zu Site-weit > Konfigurieren > Access Points > Anpassung des Captive Portals.
  5. Geben Sie unter Externe Captive Portal-URL die Purple-Weiterleitungs-URL aus Ihrer Purple-Admin-Konsole ein. Das Format lautet https://[ihre-purple-domain]/[venue-id].
  6. Geben Sie unter Erweiterte Captive Portal-Einstellung alle erforderlichen Walled Garden-Domains ein.
  7. Stellen Sie die Strikte Richtlinie auf Sämtlichen Zugriff bis zur Anmeldung blockieren, um zu verhindern, dass Gäste das Portal umgehen.
  8. Stellen Sie die Reauthentifizierungszeit so ein, dass sie den Sitzungsrichtlinien Ihres Standorts entspricht (normalerweise 24 Stunden für das Gastgewerbe, 30 Tage für Kundenbindungsprogramme im Einzelhandel).
  9. Speichern Sie.

Schritt 4: RADIUS in Nebula konfigurieren

  1. Wählen Sie in den Erweiterten SSID-Einstellungen unter Netzwerkzugriff die Option Mein RADIUS-Server.
  2. Geben Sie die IP-Adresse des primären RADIUS-Servers aus Ihrer Purple-Admin-Konsole ein.
  3. Setzen Sie den Authentication port auf 1812.
  4. Geben Sie das Shared secret ein.
  5. Wiederholen Sie den Vorgang für den sekundären RADIUS-Server.
  6. Aktivieren Sie RADIUS accounting und setzen Sie den Accounting-Port auf 1813.
  7. Speichern Sie die Einstellungen.

Schritt 5: DPPSK für mandantenfähige Segmentierung konfigurieren

  1. Navigieren Sie zu Configure > Access points > SSID advanced settings.
  2. Wählen Sie die mandantenfähige SSID aus und setzen Sie Network access auf Dynamic personal PSK.
  3. Navigieren Sie zu Configure > Cloud authentication > DPPSK.
  4. Klicken Sie auf Add und wählen Sie Batch create DPPSK.
  5. Legen Sie die Anzahl der Zugangsdaten, das Ablaufdatum und die Ziel-VLAN ID für jede Mandantengruppe fest.
  6. Geben Sie die E-Mail-Adresse ein, an die der Batch mit den Zugangsdaten gesendet werden soll.
  7. Speichern und verteilen Sie die Zugangsdaten an die Mandanten.

Schritt 6: Bereitstellung validieren

  1. Verbinden Sie ein Testgerät mit der Guest-WiFi-SSID.
  2. Bestätigen Sie, dass das Gerät zur Purple-Splash-Page weitergeleitet wird.
  3. Schließen Sie die Authentifizierung ab und bestätigen Sie, dass der Internetzugang gewährt wurde.
  4. Überprüfen Sie in der Purple-Admin-Konsole, ob die Sitzung im Analytics-Dashboard angezeigt wird.
  5. Navigieren Sie in Nebula zu Access point > Monitor > Clients, um zu bestätigen, dass der Client zugewiesen und dem richtigen VLAN zugeordnet ist.
  6. Testen Sie DPPSK, indem Sie sich mit den Zugangsdaten eines Mandanten verbinden und die korrekte VLAN-Zuweisung überprüfen.

Best Practices

Segmentieren Sie jeden Traffic-Typ. Guest-, Staff- und IoT-Traffic müssen jeweils in einem dedizierten VLAN liegen. Dies ist zwingend erforderlich, wenn Ihr Standort Kartenzahlungen über dieselbe physische Infrastruktur abwickelt – PCI DSS v4.0 verlangt eine Netzwerksegmentierung zwischen Karteninhaber-Datenumgebungen und Guest-Netzwerken.

Nutzen Sie RADIUS-Redundanz. Konfigurieren Sie sowohl die primären als auch die sekundären Purple RADIUS-IPs in Nebula. Der Ausfall eines einzelnen RADIUS-Servers verhindert bis zur Behebung jegliche Guest-Authentifizierung.

Überprüfen Sie den Walled Garden regelmäßig. Portal-Anbieter aktualisieren ihre CDN-Konfigurationen. Eine Domain, die bei der Bereitstellung funktioniert hat, kann sechs Monate später fehlerhaft sein, wenn der Anbieter Assets auf ein neues CDN migriert. Planen Sie eine vierteljährliche Überprüfung Ihrer Walled-Garden-Einträge ein.

Aktivieren Sie RADIUS accounting. Ohne Accounting kann Purple weder die Sitzungsdauer noch die Datennutzung erfassen oder zeitbasierte Zugriffslimits durchsetzen. Accounting-Daten speisen zudem das WiFi Analytics -Dashboard.

Nutzen Sie WPA3, sofern die Hardware dies unterstützt. Zyxel Access Points ab dem Baujahr 2021 unterstützen WPA3. Für Staff-WiFi entspricht WPA3-Enterprise mit 192-Bit-Sicherheitsmodus den Empfehlungen der NIST SP 800-187 für drahtlose Unternehmenssicherheit.

Testen Sie das CNA-Verhalten vor dem Live-Gang. Unter iOS bietet der Mini-Browser des Captive Network Assistant (CNA) im Vergleich zu einem vollwertigen Browser nur eingeschränkte Funktionen. Testen Sie Ihre Purple-Splash-Page in der CNA-Umgebung – insbesondere Social-Login-Flows und benutzerdefiniertes JavaScript –, bevor Sie diese für Gäste freischalten. Für Gastgewerbe -Bereitstellungen beachten Sie auch unsere Leitfäden zur Segmentierung von Gäste- und Back-of-House-Netzwerken. Für Einzelhandels -Umgebungen gilt derselbe PPSK-Ansatz zur Isolierung von Point-of-Sale-Systemen vom Shopper-WiFi.

Fehlerbehebung & Risikominderung

Splash-Page wird nicht geladen

Symptom: Der Gast verbindet sich mit der SSID, sieht aber eine leere Seite oder einen Browserfehler im CNA.

Ursache: Eine oder mehrere für die Splash-Page erforderliche Domains befinden sich nicht im Walled Garden.

Lösung: Verbinden Sie ein Testgerät mit der Gäste-SSID. Öffnen Sie einen Browser (nicht das CNA) und navigieren Sie zu einer beliebigen HTTP-URL. Nach der Weiterleitung zum Captive Portal öffnen Sie die Entwicklertools des Browsers und überprüfen Sie die Registerkarte "Netzwerk". Identifizieren Sie alle Anfragen, die 403- oder "Verbindung verweigert"-Fehler zurückgeben. Fügen Sie diese Domains zum Nebula Walled Garden hinzu.

Gäste authentifizieren sich, erhalten aber keinen Internetzugang

Symptom: Der Gast füllt das Formular im Captive Portal aus und sieht eine Erfolgsseite, aber das Surfen im Internet schlägt fehl.

Ursache: Der Zyxel-Controller empfängt das RADIUS Access-Accept nicht von Purple, oder die USG Flex Firewall blockiert die RADIUS-Antwort.

Lösung: Überprüfen Sie, ob die ausgehenden UDP-Ports 1812 und 1813 von der Zyxel AP-Management-IP zur Purple RADIUS-Server-IP zugelassen sind. Überprüfen Sie die Sicherheitsprotokolle der USG Flex auf blockierten Datenverkehr.

RADIUS-Accounting-Daten fehlen im Purple-Dashboard

Symptom: Sitzungen werden in Nebula angezeigt, aber das Purple-Analytics-Dashboard zeigt keine Daten zur Sitzungsdauer.

Ursache: RADIUS-Accounting ist in der Nebula-SSID-Konfiguration nicht aktiviert, oder UDP-Port 1813 ist blockiert.

Lösung: Vergewissern Sie sich, dass RADIUS-Accounting in den erweiterten Einstellungen der SSID aktiviert ist. Überprüfen Sie, ob der Accounting-Port auf 1813 eingestellt ist und das Shared Secret mit der Purple-Konfiguration übereinstimmt.

DPPSK-Benutzer dem falschen VLAN zugewiesen

Symptom: Ein Mandant verbindet sich mit seinem PPSK, wird aber im falschen Netzwerksegment platziert.

Ursache: Die VLAN-ID im DPPSK-Datenbankeintrag stimmt nicht mit dem VLAN überein, das auf dem Switch-Trunk oder der USG Flex-Schnittstelle konfiguriert ist.

Lösung: Gleichen Sie die VLAN-ID in der Nebula DPPSK-Datenbank mit der VLAN-Konfiguration auf dem vorgeschalteten Switch und der USG Flex ab. Stellen Sie sicher, dass der AP-Switch-Port ein Trunk ist, der alle Mandanten-VLANs überträgt.

ROI & geschäftliche Auswirkungen

Die Integration der Zyxel-Infrastruktur mit Purple verwandelt ein kostenintensives drahtloses Netzwerk in ein umsatzgenerierendes Daten-Asset. Bei einem Hotel mit 200 Zimmern baut das Erfassen von E-Mail-Adressen und Marketing-Einwilligungen der Gäste beim WiFi-Login eine CRM-Datenbank auf, die Direktbuchungskampagnen fördert und die Abhängigkeit von OTA-Provisionen verringert. Für eine Einzelhandelskette liefert die Purple Guest WiFi -Plattform Analysen zur Besucherfrequenz, Verweildauer und Wiederholungsbesuchsraten, die als Grundlage für Personal- und Merchandising-Entscheidungen dienen. Für Multi-Tenant-Betreiber – BTR-Entwicklungen, Studentenwohnheime, Coworking-Spaces – eliminiert die Bereitstellung von Zyxel DPPSK mit Purple den operativen Aufwand für die Verwaltung separater SSIDs und Anmeldedaten pro Mieter. Eine einzige SSID mit dynamischer VLAN-Zuweisung reduziert Funkinterferenzen, vereinfacht das Onboarding und lässt sich ohne zusätzliche Infrastruktur auf Hunderte von Bewohnern skalieren.

Die SLA von Purple mit einer Betriebszeit von 99,999 % stellt sicher, dass die Authentifizierungsebene nicht zu einem Engpass für den Gastzugang wird. Mit 29 Milliarden auf der Plattform erfassten Datenpunkten (interne Daten von Purple) bieten die über die Purple-Admin-Konsole bereitgestellten Analysen den Betreibern von Veranstaltungsorten verwertbare Erkenntnisse, die die Integrationsinvestition bereits im ersten Quartal nach der Bereitstellung rechtfertigen.

Für healthcare - und transport -Umgebungen, in denen das Besucher-WiFi ein regulierter Dienst ist, eliminiert die in das Captive Portal von Purple integrierte, GDPR-konforme Datenerfassung und das Einwilligungsmanagement das Compliance-Risiko, das mit unmanaged offenen Netzwerken verbunden ist.

Siehe auch: Arista Cognitive Wi-Fi Integration with Purple WiFi für ein vergleichbares Integrationsmuster auf einer anderen Hardwareplattform.

Schlüsseldefinitionen

Captive Portal

Eine Webseite, die unauthentifizierten HTTP-Traffic von einem verbundenen Gerät abfängt und erfordert, dass der Benutzer interagiert oder sich authentifiziert, bevor ein Internetzugang gewährt wird.

Der primäre Mechanismus, den Purple nutzt, um Gastdaten zu erfassen und die Nutzungsbedingungen in Zyxel Guest WiFi-Netzwerken durchzusetzen.

Walled Garden

Eine Liste von IP-Adressen und Domain-Namen, auf die ein Gerät zugreifen kann, bevor die Authentifizierung am Captive Portal abgeschlossen ist.

Konfiguriert in Nebula unter den erweiterten Einstellungen für das Captive Portal. Muss alle Purple-Portal-Domains, CDN-Endpunkte und URLs für Betriebssystem-Konnektivitätsprüfungen enthalten.

RADIUS

Remote Authentication Dial-In User Service. Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für den Netzwerkzugriff bereitstellt.

Purple fungiert als RADIUS-Server. Zyxel APs senden Authentifizierungsanfragen über UDP 1812 und Accounting-Daten über UDP 1813.

DPPSK

Dynamic Personal Pre-Shared Key. Eine Funktion von Zyxel Nebula, die eindeutige WiFi-Passwörter auf einer einzigen SSID ausgibt und jedes Passwort einem bestimmten VLAN zuordnet.

Wird in mandantenfähigen Umgebungen verwendet, um den Datenverkehr von Bewohnern oder Mietern zu isolieren, ohne mehrere SSIDs auszustrahlen. Erfordert das Nebula Pro Pack.

VLAN

Virtual Local Area Network. Ein logisches Netzwerksegment, das den Datenverkehr auf Layer 2 isoliert, unabhängig von der physischen Switch- oder AP-Infrastruktur.

Zwingend erforderlich für die Trennung von Gast-, Mitarbeiter- und Mandanten-Traffic. Erforderlich für die PCI-DSS-Compliance an Standorten, die Kartenzahlungen verarbeiten.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der das Extensible Authentication Protocol (EAP) verwendet, um einzelne Benutzer oder Geräte zu authentifizieren, bevor der Netzwerkzugriff gewährt wird.

Wird für Mitarbeiter-WiFi in Nebula verwendet, indem WPA2-Enterprise oder WPA3-Enterprise mit entweder dem Nebula Cloud Authentication Server oder einem externen RADIUS-Server ausgewählt wird.

CNA

Captive Network Assistant. Der Pseudo-Browser, den iOS- und macOS-Geräte automatisch öffnen, wenn sie ein Captive Portal in einem WiFi-Netzwerk erkennen.

Bietet im Vergleich zu einem vollwertigen Browser nur eingeschränkte JavaScript- und Cookie-Unterstützung. Splash Pages von Purple müssen vor der Bereitstellung in der CNA-Umgebung getestet werden.

Identitätsbasierte Netzwerke

Eine Netzwerkarchitektur, bei der Zugriffsrichtlinien, VLAN-Zuweisungen und Bandbreitenbegrenzungen dynamisch basierend auf der authentifizierten Identität des Benutzers oder Geräts angewendet werden.

Das Ergebnis der Kombination von Zyxel DPPSK mit der RADIUS-Plattform von Purple. Jeder Benutzer erhält beim Verbindungsaufbau automatisch das richtige Netzwerksegment.

NCC

Nebula Control Center. Die cloudbasierte Netzwerkmanagement-Plattform von Zyxel zur zentralen Konfiguration und Überwachung von Zyxel Access Points, Switches und Firewalls.

Alle in diesem Handbuch beschriebenen SSID-, Captive Portal-, RADIUS- und DPPSK-Konfigurationen werden innerhalb des NCC durchgeführt.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern stellt Zyxel Nebula Access Points und eine USG Flex 500 Firewall bereit. Benötigt werden ein Gäste-WiFi mit einer gebrandeten Splash-Page, ein separates Mitarbeiternetzwerk mit individuellen Zugangsdaten und ein IoT-Netzwerk für Smart-TVs und Thermostate – und das alles, ohne mehr als drei SSIDs auszustrahlen.

Das IT-Team konfiguriert drei SSIDs. Die erste ist 'Hotel-Guest', eine offene SSID, bei der die externe Captive Portal-URL von Purple in Nebula konfiguriert ist. Gäste werden auf eine gebrandete Purple Splash-Page weitergeleitet, auf der sie ihre E-Mail-Adresse angeben und der Marketing-Einwilligung zustimmen. RADIUS-Authentifizierung und -Accounting verweisen auf die Purple Cloud-Plattform auf den Ports 1812 und 1813. Die zweite SSID ist 'Hotel-Staff', konfiguriert mit WPA2-Enterprise und dem Nebula Cloud Authentication Server. Jedes Teammitglied verfügt über einen eindeutigen Benutzernamen und ein Passwort in der NCAS-Datenbank, die dem VLAN 20 zugewiesen sind. Die dritte SSID ist 'Hotel-IoT', konfiguriert mit DPPSK. Jeder Smart-TV und jedes Thermostat erhält eine eindeutige Passphrase, die dem VLAN 30 zugewiesen ist. Die USG Flex erzwingt Zonenrichtlinien: Gäste (VLAN 10) können nur das WAN erreichen. Mitarbeiter (VLAN 20) können das WAN und interne Verwaltungssysteme erreichen. IoT (VLAN 30) ist ausschließlich auf bestimmte lokale Dienste beschränkt.

Kommentar des Prüfers: Diese Architektur erreicht eine vollständige Segmentierung bei minimalem SSID-Overhead. Die Verwendung von DPPSK für IoT-Geräte bietet eine Isolierung auf Geräteebene, ohne dass 802.1X-Supplicants erforderlich sind, welche von Headless-Geräten nicht unterstützt werden können. Die Purple Integration auf der Gäste-SSID erfasst First-Party-Daten in großem Umfang, während die Mitarbeiter-SSID durch individuelle 802.1X-Zugangsdaten ein Sicherheitsniveau der Enterprise-Klasse beibehält.

Ein Betreiber von Coworking-Spaces verwaltet 12 Mieter auf drei Etagen. Jeder Mieter benötigt einen isolierten Internetzugang und darf die Geräte anderer Mieter nicht erreichen können. Der Betreiber möchte beim Einzug WiFi-Zugangsdaten ausgeben und diese beim Auszug widerrufen, ohne die SSID zu ändern oder die APs neu zu konfigurieren.

Der Betreiber stellt eine einzige SSID 'CoWork-Connect' mit aktiviertem DPPSK in Nebula bereit. Beim Einzug meldet er sich im Nebula Control Center an, navigiert zu „Konfigurieren > Cloud-Authentifizierung > DPPSK“ und erstellt neue Zugangsdaten für den Mieter, wobei die Ziel-VLAN-ID dem Netzwerksegment dieses Mieters entspricht. Er legt ein Ablaufdatum fest, das dem Ende des Mietvertrags entspricht, und sendet die Zugangsdaten per E-Mail an den Mieter. Beim Auszug löscht er den DPPSK-Eintrag. Die Zugangsdaten werden sofort ungültig und die Geräte des Mieters können sich nicht mehr verbinden. Auf der SSID ist eine Layer-2-Isolierung aktiviert, um eine Kommunikation zwischen Mietern selbst innerhalb desselben VLANs zu verhindern.

Kommentar des Prüfers: DPPSK bietet ein sauberes Lifecycle-Management-Modell für mandantenfähige Umgebungen. Die Funktion für das Ablaufdatum automatisiert das Offboarding, ohne dass eine manuelle AP-Rekonfiguration erforderlich ist. Das Limit von 2.048 gleichzeitigen Zugangsdaten liegt weit innerhalb der Kapazität eines Coworking-Spaces mit 12 Mietern. Für größere Bereitstellungen sollten Betreiber Zeitpläne für die Rotation von Zugangsdaten planen, um innerhalb dieses Limits zu bleiben.

Übungsfragen

Q1. Sie haben die Captive Portal-URL von Purple in Zyxel Nebula konfiguriert und das externe Portal aktiviert. Gäste verbinden sich mit der SSID, berichten jedoch, dass das Laden der Splash-Page über 30 Sekunden dauert und diese fehlerhaft dargestellt wird – es fehlen Bilder und das Layout ist zerschossen. Was ist die wahrscheinlichste Ursache und wie beheben Sie das Problem?

Hinweis: Überlegen Sie, was den Zugriff auf externe Ressourcen kontrolliert, bevor sich ein Gast authentifiziert hat.

Musterlösung anzeigen

Die Walled Garden-Konfiguration ist unvollständig. Die Splash-Page von Purple lädt CSS, JavaScript und Bild-Assets von CDN-Domains. Wenn diese Domains nicht in den erweiterten Einstellungen des Nebula Captive Portals auf der Whitelist stehen, blockiert der AP diese Anfragen, bevor die Authentifizierung abgeschlossen ist. Lösung: Verbinden Sie ein Testgerät mit der Gäste-SSID, öffnen Sie einen Browser (nicht den CNA-Mini-Browser), rufen Sie eine beliebige HTTP-URL auf, um die Weiterleitung auszulösen, öffnen Sie dann die Entwicklertools und überprüfen Sie den Reiter „Netzwerk“. Identifizieren Sie alle Anfragen, die einen 403-Fehler oder Verbindungsfehler zurückgeben. Fügen Sie diese Domains zum Nebula Walled Garden hinzu und testen Sie erneut.

Q2. Ein Betreiber möchte isolierte Netzwerke für 15 verschiedene Einzelhandelsmieter in einem Einkaufszentrum bereitstellen. Sein ursprünglicher Plan ist es, 15 separate SSIDs von seinen Zyxel-APs auszustrahlen. Warum ist dieser Ansatz problematisch und was sollte stattdessen implementiert werden?

Hinweis: Denken Sie an die RF-Airtime und die Zyxel-Funktion, die speziell für diesen Anwendungsfall entwickelt wurde.

Musterlösung anzeigen

Das Ausstrahlen von 15 SSIDs erzeugt pro Access Point und Sekunde 15 Sätze von Beacon-Frames. In einer dichten Einzelhandsumgebung mit mehreren APs verbraucht dieser Beacon-Overhead erhebliche Airtime und verschlechtert den Durchsatz für alle verbundenen Geräte. Der richtige Ansatz ist die Ausstrahlung einer einzigen SSID und die Aktivierung von Zyxel DPPSK. Jeder Mieter erhält ein eindeutiges Passwort, das seiner dedizierten VLAN-ID zugeordnet ist. Wenn sich ein Gerät des Mieters verbindet, weist der Nebula-Controller dieses dynamisch dem richtigen VLAN zu. Dies ermöglicht eine vollständige Datenverkehrsisolierung mit einer einzigen SSID und minimalem RF-Overhead.

Q3. Nach der Einrichtung der Integration von Zyxel und Purple können sich Gäste erfolgreich authentifizieren und im Internet surfen. Das Purple-Analyse-Dashboard zeigt jedoch keine Daten zur Sitzungsdauer an, und die zeitbasierte Zugriffsbeschränkung funktioniert nicht. Was fehlt in der Konfiguration?

Hinweis: Authentifizierung und Sitzungsverfolgung nutzen unterschiedliche Ports und Protokolle.

Musterlösung anzeigen

RADIUS Accounting ist in der Nebula-SSID-Konfiguration entweder nicht aktiviert oder der UDP-Port 1813 wird von der vorgeschalteten Firewall blockiert. Die Authentifizierung (UDP 1812) ist erfolgreich, weshalb sich Gäste verbinden können. Ohne Accounting-Pakete (Start, Interim-Update, Stop) kann Purple jedoch weder die Sitzungsdauer verfolgen, noch Zeitlimits durchsetzen oder das Analyse-Dashboard befüllen. Lösung: Stellen Sie sicher, dass RADIUS Accounting in den erweiterten SSID-Einstellungen aktiviert ist, wobei der Accounting-Port auf 1813 und das gemeinsame Geheimnis (Shared Secret) korrekt eingestellt sein müssen. Überprüfen Sie anschließend, ob die vorgeschaltete Firewall ausgehenden Datenverkehr über UDP 1813 von der Management-IP des Zyxel-APs zur IP des Purple RADIUS-Servers zulässt.

Weiterlesen in dieser Reihe

CommScope Ruckus Integration mit Purple WiFi: Einrichtungs- und Konfigurationshandbuch

Dieses technische Referenzhandbuch bietet einen maßgeblichen Konfigurationsleitfaden für die Integration von CommScope Ruckus-Architekturen mit Purple WiFi. Es beschreibt Schritt-für-Schritt-Bereitstellungen für Guest WiFi Captive Portals, sicheres Mitarbeiter-WiFi über 802.1X und mandantenfähige Netzwerkisolierung mithilfe von Ruckus Dynamic PSK.

Leitfaden lesen →

Allied Telesis Access Points Integration mit Purple WiFi

Dieses Handbuch bietet eine umfassende Konfigurationsanleitung für die Integration von Allied Telesis Access Points der TQ-Serie mit Purple WiFi. Es behandelt die externe Captive Portal-Weiterleitung, die 802.1X-RADIUS-Authentifizierung und die dynamische VLAN-Steuerung mithilfe von Private Pre-Shared Keys (PPSK) für sichere Multi-Tenant-Bereitstellungen.

Leitfaden lesen →

Grandstream GWN Access Points Integration mit Purple WiFi

Dieses maßgebliche technische Handbuch beschreibt die Integration von Grandstream GWN Access Points mit dem Purple Guest WiFi und der Analytics-Plattform. Es umfasst die Konfiguration des Grandstream Captive Portal, die RADIUS AAA-Einstellungen, die Einrichtung des Walled Garden, die sichere 802.1X-Authentifizierung für Mitarbeiter mit dynamischer VLAN-Steuerung sowie die Multi-Tenant-PPSK-Segmentierung – eine praxisnahe Schritt-für-Schritt-Anleitung für MSPs und IT-Teams, die WiFi für Gäste und Mitarbeiter in großem Stil bereitstellen.

Leitfaden lesen →