Zyxel Nebula und Gäste-WiFi: Captive Portal-Einrichtung mit Purple

Willkommen bei der Purple Technical Briefing Series. Ich bin Ihr Host, und heute behandeln wir ein entscheidendes Bereitstellungsszenario für IT-Manager und Netzwerkarchitekten: die Integration von Zyxel Nebula Cloud und USG Flex Firewalls mit Purple WiFi. Wenn Sie Guest WiFi in einer Hotelkette, einem Einzelhandelsnetzwerk oder einer mandantenfähigen Umgebung bereitstellen, ist diese Folge genau das Richtige für Sie. Lassen Sie uns direkt in die Architektur einsteigen. Zuerst: Warum diese Integration? Zyxel bietet robuste Hardware und Nebula eine zentralisierte Cloud-Verwaltung. Aber wenn Sie WiFi in großem Stil bereitstellen - sagen wir über 50 Einzelhandelsfilialen oder ein Hotel mit 200 Zimmern -, benötigen Sie mehr als nur grundlegende Konnektivität. Sie benötigen einen strukturierten Authentifizierungsfluss, eine rechtskonforme Datenerfassung und eine dynamische Netzwerksegmentierung. Hier kommt Purple ins Spiel. Wir integrieren uns über RADIUS und die Weiterleitung zu einem externen Captive Portal mit Zyxel, um Identity-Based Networks bereitzustellen. Lassen Sie uns die Kernkonfiguration auf Zyxel Nebula durchgehen. Der Prozess beginnt mit Ihren SSID-Einstellungen. Sie navigieren zu „Site-wide“, „Configure“, „Access points“ und dann zu den erweiterten SSID-Einstellungen. Hier aktivieren Sie die URL für das externe Captive Portal. Sie geben die spezifische Purple-Weiterleitungs-URL ein, die Sie in Ihrem Purple-Portal erhalten haben. Eine Weiterleitung allein reicht jedoch nicht aus; Sie müssen auch den Walled Garden konfigurieren. Der Walled Garden definiert, welche Domains ein Gastgerät vor der Authentifizierung erreichen kann. Dies ist eine häufige Fehlerquelle. Sie müssen die Domains des Purple-Portals, alle Asset-CDNs und die standardmäßigen Endpunkte zur Erkennung von Captive Portals der Betriebssysteme auf die Whitelist setzen. In Nebula fügen Sie diese Domains Zeile für Zeile hinzu. Wenn Sie eine Domain vergessen, wird die Splash Page nicht richtig geladen und Ihre Gäste können sich nicht verbinden. Als Nächstes konfigurieren wir den RADIUS-Server. In den erweiterten SSID-Einstellungen wählen Sie „WPA2-Enterprise mit My RADIUS server“ oder konfigurieren eine MAC-basierte Authentifizierung, je nach Ihrem Ablauf. Sie geben die Purple RADIUS-IP-Adresse ein, setzen den Authentifizierungsport auf 1812, den Accounting-Port auf 1813 und geben das Shared Secret ein. Konfigurieren Sie immer auch den Backup-RADIUS-Server, um eine hohe Verfügbarkeit zu gewährleisten. Lassen Sie uns nun über ein fortgeschritteneres Szenario sprechen: Die Mandantensegmentierung (Multi-Tenant) mithilfe von Zyxel Private Pre-Shared Keys oder PPSK. In Umgebungen wie Studentenwohnheimen oder Coworking-Spaces möchten Sie eine einzige SSID nutzen, müssen aber den Datenverkehr pro Mandant isolieren. Zyxel PPSK ermöglicht es Ihnen, jedem Benutzer ein einzigartiges WiFi-Passwort zuzuweisen. Wenn sie sich verbinden, weist der Nebula-Controller ihnen basierend auf diesem Passwort dynamisch ein bestimmtes VLAN zu. Sie konfigurieren dies unter „Cloud Authentication“, indem Sie DPPSK auswählen und die entsprechende VLAN-ID zuweisen. Dies reduziert den SSID-Overhead und verbessert die Sicherheit erheblich. Wie sieht es mit der USG Flex-Firewall aus? Wenn Sie das Gateway vor Ort betreiben, müssen Sie sicherstellen, dass Ihre Firewall-Regeln und Zonenrichtlinien auf Ihre Wireless-Segmente abgestimmt sind. Normalerweise erstellen Sie dedizierte Zonen für den Guest-, Staff- und Multi-Tenant-Traffic. Die Guest-Zone darf nur über ausgehenden Internetzugang verfügen, mit strengen Regeln, die den Zugriff auf die LAN- oder DMZ-Zonen blockieren. Kommen wir nun zu den Implementierungsempfehlungen und häufigen Fehlern. Das am häufigsten auftretende Problem ist eine Fehlkonfiguration des Walled Garden. Wenn sich ein Gast verbindet und eine leere Seite sieht, überprüfen Sie Ihre Whitelist. Nutzen Sie die Entwicklertools des Browsers, um blockierte CDN-Anfragen zu identifizieren. Das zweite Problem sind RADIUS-Timeouts. Stellen Sie sicher, dass Ihre Upstream-Firewalls die UDP-Ports 1812 und 1813 ausgehend zur Purple-Cloud-Plattform zulassen. Zeit für eine schnelle Fragerunde. Frage eins: Benötige ich ein dediziertes VLAN für Guest WiFi? Antwort: Ja. Isolieren Sie den Gast-Traffic immer in einem dedizierten VLAN. Dies ist für die PCI-DSS-Compliance zwingend erforderlich, wenn Ihr Standort Zahlungen über dieselbe physische Infrastruktur abwickelt. Frage zwei: Kann ich Purple mit eigenständigen APs von Zyxel ohne Nebula verwenden? Antwort: Ja, aber die Verwaltung der RADIUS- und Portal-Einstellungen pro AP ist ineffizient. Wir empfehlen dringend die Verwendung des Nebula Control Centre für eine zentrale Verwaltung. Frage drei: Wie geht Purple mit der Randomisierung von MAC-Adressen um? Antwort: Purple verlässt sich auf die MAC-Adresse, die vom Zyxel-Controller über das RADIUS-Accounting bereitgestellt wird. Während Geräte die MAC-Adressen pro Netzwerk randomisieren, behalten sie dieselbe MAC-Adresse für Ihre spezifische SSID bei, was eine Sitzungspersistenz während ihres Besuchs ermöglicht. Zusammenfassend lässt sich sagen: Die Integration von Zyxel Nebula mit Purple erfordert eine präzise Konfiguration der externen Captive Portal-URL, einen umfassenden Walled Garden und genaue RADIUS-Einstellungen. Nutzen Sie bei Multi-Tenant-Standorten Zyxel PPSK für dynamisches VLAN-Steering. Wenn Sie diese Elemente richtig einrichten, bieten Sie ein sicheres, skalierbares WiFi-Erlebnis, das wertvolle First-Party-Daten erfasst. Wenn Sie eine Bereitstellung planen, lesen Sie den vollständigen technischen Leitfaden für Schritt-für-Schritt-Anleitungen und Architekturdiagramme. Vielen Dank fürs Zuhören und bis zum nächsten technischen Briefing.