DrayTek Vigor y guest WiFi: configuración del captive portal con Purple

Bienvenido a la sesión informativa de integración de Purple. Hoy analizaremos los routers DrayTek Vigor y los puntos de acceso VigorAP, y específicamente cómo integrarlos con Purple WiFi. Esta sesión está dirigida a directores de TI y arquitectos de red que despliegan redes para invitados, personal y multiinquilino en pymes y medianas empresas. Comencemos con el contexto. El hardware de DrayTek es increíblemente popular en el sector minorista, la hostelería y los edificios residenciales porque ofrece sólidas funciones de enrutamiento, VPN y conexión inalámbrica a un precio competitivo. Al emparejar un router DrayTek Vigor con Purple, transforma una conexión a Internet estándar en una red basada en la identidad. Purple cuenta con más de 80.000 sedes activas y procesa 440 millones de inicios de sesión al año. Nosotros aportamos el Captive Portal, los análisis y la capa de seguridad. DrayTek proporciona la infraestructura perimetral fiable. Entremos en el análisis técnico detallado. ¿Cómo hacemos que esto funcione realmente? El núcleo de la integración se basa en la autenticación RADIUS y la redirección de Captive Portal externo. En primer lugar, la configuración del WiFi para invitados. Configurará el router DrayTek Vigor como una puerta de enlace Hotspot Web Portal. En la interfaz de DrayOS, en Applications y RADIUS, añada la IP del servidor RADIUS de Purple y el secreto compartido. A continuación, en Hotspot Web Portal, establezca el Portal Method en External Server y pegue su URL de acceso específica de Purple. El router DrayTek intercepta el tráfico de los invitados, lo redirige a la capa en la nube de Purple para su autenticación y luego utiliza RADIUS para conceder el acceso. Un paso crítico aquí es el Walled Garden. Los invitados deben poder llegar a los servidores de Purple antes de ser autenticados. Debe configurar la pestaña Destination Domain en el perfil de Hotspot de DrayTek para permitir el tráfico a los dominios de autenticación de Purple. Si omite esto, la página de bienvenida simplemente no se cargará. Este es uno de los errores más comunes durante el despliegue inicial. Ahora, ¿qué pasa con el WiFi para el personal? Para un acceso seguro del personal, no se utiliza un Captive Portal. Se utiliza la autenticación 802.1X, que es el estándar de la IEEE para el control de acceso a redes basado en puertos. En la configuración de Wireless LAN Security de DrayTek, seleccione WPA2 barra diagonal 802.1X y apunte al servidor RADIUS de Purple. Los dispositivos del personal se autentican sin problemas mediante PEAP y MS-CHAPv2. Esto elimina por completo las contraseñas compartidas y le permite revocar el acceso al instante cuando un empleado se marcha. No es necesario cambiar la contraseña en todo el establecimiento. Hablemos de los entornos Multi-Tenant. Piense en residencias de estudiantes, espacios de coworking o concesiones minoristas. Necesita segmentación de red. DrayTek gestiona esto con VLANs y Multiple PSK, también conocido como PPSK o Private Pre-Shared Key. Usted configura las VLANs en el router DrayTek. Por ejemplo, VLAN 10 para Invitados, VLAN 20 para Personal y VLAN 30 para Inquilinos. Con la función WPA2-PPSK de DrayTek en los VigorAPs, cada inquilino obtiene una contraseña única. Cuando se conectan, el punto de acceso vincula esa contraseña a su dirección MAC y los ubica en su VLAN aislada. Esto significa que el inquilino de una cafetería en la planta baja de un hotel no puede ver la red interna del hotel, aunque compartan el mismo punto de acceso físico. La asignación dinámica de VLAN va un paso más allá. El servidor RADIUS de Purple puede devolver atributos RADIUS específicos cuando un usuario se autentica. Estos son los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek lee estos valores y asigna dinámicamente el cliente autenticado a la VLAN correcta. Esto es Identity-Based Networking en la práctica: la red se adapta a la identidad del usuario, y no al revés. Pasemos a las Recomendaciones de implementación y errores comunes. Recomendación uno: Utilice siempre un backhaul cableado para sus VigorAPs. Los sistemas de distribución inalámbrica, o repetidores universales, no pueden transmitir las etiquetas VLAN 802.1Q necesarias para una segmentación de red correcta. Si desea una red de invitados aislada de su LAN interna, necesita que esas etiquetas VLAN permanezcan intactas, y eso significa un cable Ethernet físico desde cada punto de acceso de vuelta al router DrayTek o a un switch gestionado. Recomendación dos: Active AP-Assisted Mobility en los VigorAPs. Esta función desasocia de forma inteligente a los clientes con una señal débil, obligándolos a realizar roaming hacia un punto de acceso más cercano. Resuelve el problema de los clientes "adheridos" que afecta a muchas implementaciones de PYMEs. En un entorno de retail, un comprador que camina desde la parte delantera de la tienda hacia la parte trasera debería realizar una transición fluida entre los puntos de acceso. Sin AP-Assisted Mobility, su dispositivo podría seguir conectado al punto de acceso delantero incluso cuando la señal es débil. Recomendación tres: Planifique su esquema de numeración de VLAN antes de comenzar. Cambiar los IDs de las VLAN después de la implementación requiere volver a configurar el router, todos los puntos de acceso y, potencialmente, cualquier switch gestionado en la ruta. Documente su esquema con claridad. ¿El mayor error común? Olvidar reiniciar el router DrayTek después de aplicar las configuraciones de RADIUS y Hotspot. DrayOS requiere un reinicio para aplicar estos cambios específicos. Si se salta esto, pasará horas solucionando problemas en una configuración que en realidad es correcta pero que simplemente no está activa todavía. Esto está documentado en la guía de soporte oficial de Purple para el hardware de DrayTek. Hagamos una ronda rápida de preguntas y respuestas. Pregunta: ¿Puedo utilizar el servidor RADIUS interno del router Vigor? Respuesta: Sí, puede para la autenticación 802.1X local, pero para la integración con Purple, debe utilizar los servidores RADIUS externos de Purple. Esto es lo que permite la gestión centralizada de políticas y los análisis que proporciona Purple. Pregunta: ¿Soporta DrayTek el direccionamiento dinámico de VLAN a través de RADIUS? Respuesta: Sí. El servidor RADIUS de Purple devuelve los atributos Tunnel-Type y Tunnel-Private-Group-ID tras la autenticación. El router DrayTek los lee y asigna dinámicamente el cliente a la VLAN correcta. Pregunta: ¿Qué ocurre si el dispositivo iOS de un usuario utiliza una dirección MAC privada con PPSK? Respuesta: Fallará la autenticación. El perfil PPSK se vincula a una dirección MAC específica. Debe indicar a los usuarios que desactiven la dirección Private WiFi para su red específica en sus ajustes de iOS para garantizar una conectividad estable. Pregunta: ¿Qué modelos de DrayTek son compatibles con Purple? Respuesta: Los modelos actualmente compatibles incluyen las series 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 y 3910. Consulte la documentación de soporte de Purple para obtener la lista más reciente. En resumen, DrayTek y Purple juntos le ofrecen un control de red de nivel empresarial a precios de pymes. Utilice el Captive Portal web para invitados, 802.1X para el personal y PPSK con VLAN para los inquilinos. Planifique sus VLAN cuidadosamente, configure sus walled gardens y reinicie siempre después de aplicar los ajustes de RADIUS. Utilice backhaul por cable para sus puntos de acceso, active la movilidad asistida por AP y planifique la aleatorización de MAC en los dispositivos iOS. Gracias por escuchar esta sesión informativa técnica. Configure su hardware y nos vemos en la plataforma Purple.