DrayTek Vigor Routers and Access Points Integration with Purple WiFi

Esta guía proporciona instrucciones técnicas paso a paso para integrar los routers DrayTek Vigor y los puntos de acceso VigorAP con la plataforma en la nube de Purple. Cubre la configuración del Captive Portal de DrayTek para Guest WiFi, la autenticación 802.1X para un Staff WiFi seguro, la configuración de Walled Garden y la configuración de DrayTek Multiple PSK (PPSK) para la segmentación de redes Multi-Tenant con asignación dinámica de VLAN. Diseñado para instaladores de TI y administradores de redes de pymes que despliegan Purple en entornos de hostelería, retail y espacios multi-tenant.

📖 10 min de lectura📝 2,500 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 9 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Le damos la bienvenida a la sesión informativa de integración de Purple. Hoy analizaremos los routers DrayTek Vigor y los puntos de acceso VigorAP, y específicamente cómo integrarlos con Purple WiFi. Esta sesión está dirigida a responsables de TI y arquitectos de red que despliegan redes para invitados, personal y entornos multiinquilino en pymes y medianas empresas.

Comencemos con el contexto. El hardware de DrayTek es increíblemente popular en el sector minorista, la hostelería y las unidades de viviendas múltiples porque ofrece sólidas capacidades de enrutamiento, VPN y conectividad inalámbrica a un precio competitivo. Al emparejar un router DrayTek Vigor con Purple, transforma una conexión a Internet estándar en una red basada en la identidad. Purple cuenta con más de 80 000 establecimientos activos y procesa 440 millones de inicios de sesión al año. Nosotros aportamos el Captive Portal, las analíticas y la capa de seguridad. DrayTek proporciona la infraestructura perimetral fiable.

Entremos en el análisis técnico detallado. ¿Cómo hacemos que esto funcione realmente? El núcleo de la integración se basa en la autenticación RADIUS y la redirección externa del Captive Portal.

En primer lugar, la configuración de la red WiFi para invitados. Configurará el router DrayTek Vigor como una pasarela de Hotspot Web Portal. En la interfaz de DrayOS, en Applications y RADIUS, añada la IP del servidor RADIUS de Purple y el secreto compartido. A continuación, en Hotspot Web Portal, establezca el Portal Method en External Server y pegue su URL de acceso específica de Purple. El router DrayTek intercepta el tráfico de los invitados, lo redirige a la capa en la nube de Purple para su autenticación y, después, utiliza RADIUS para conceder el acceso.

Un paso crítico aquí es el Walled Garden. Los invitados deben poder llegar a los servidores de Purple antes de autenticarse. Debe configurar la pestaña Destination Domain en el perfil de Hotspot de DrayTek para permitir el tráfico hacia los dominios de autenticación de Purple. Si omite este paso, la página de bienvenida simplemente no se cargará. Este es uno de los errores más comunes durante el despliegue inicial.

Ahora bien, ¿qué ocurre con la red WiFi para el personal? Para un acceso seguro del personal, no se utiliza un Captive Portal. Se utiliza la autenticación 802.1X, que es el estándar IEEE para el control de acceso a redes basado en puertos. En la configuración de seguridad de la red inalámbrica (Wireless LAN Security) de DrayTek, seleccione WPA2 barra diagonal 802.1X y apunte al servidor RADIUS de Purple. Los dispositivos del personal se autentican sin problemas mediante PEAP y MS-CHAPv2. Esto elimina por completo las contraseñas compartidas y le permite revocar el acceso al instante cuando un empleado se marcha. No es necesario cambiar la contraseña en todo el establecimiento.

Hablemos de los entornos Multi-Tenant. Piense en residencias de estudiantes, espacios de coworking o concesiones comerciales. Necesita segmentación de red. DrayTek gestiona esto con VLAN y Multiple PSK, también conocido como PPSK o Private Pre-Shared Key. Usted configura las VLAN en el router DrayTek. Por ejemplo, VLAN 10 para Invitados, VLAN 20 para Personal y VLAN 30 para Inquilinos. Con la función WPA2-PPSK de DrayTek en los VigorAP, cada inquilino obtiene una contraseña única. Cuando se conectan, el punto de acceso vincula esa contraseña a su dirección MAC y los ubica en su VLAN aislada. Esto significa que el inquilino de una cafetería en la planta baja de un hotel no puede ver la red interna del hotel, aunque compartan el mismo punto de acceso físico.

La asignación dinámica de VLAN va un paso más allá. El servidor RADIUS de Purple puede devolver atributos RADIUS específicos cuando un usuario se autentica. Estos son los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek lee estos valores y asigna dinámicamente el cliente autenticado a la VLAN correcta. Esto es Redes Basadas en la Identidad en la práctica: la red se adapta a la identidad del usuario, y no al revés.

Pasemos a las Recomendaciones de Implementación y Errores Comunes.

Recomendación uno: Utilice siempre un backhaul cableado para sus VigorAP. Los sistemas de distribución inalámbrica, o repetidores universales, no pueden transmitir las etiquetas VLAN 802.1Q necesarias para una segmentación de red adecuada. Si desea una red de invitados aislada de su LAN interna, necesita que esas etiquetas VLAN permanezcan intactas, y eso significa un cable Ethernet físico desde cada punto de acceso hasta el router DrayTek o un switch gestionado.

Recomendación dos: Active la Movilidad Asistida por AP en los VigorAP. Esta función desasocia de forma inteligente a los clientes con una intensidad de señal deficiente, obligándolos a realizar roaming hacia un punto de acceso más cercano. Resuelve el problema de los clientes adheridos (sticky clients) que afecta a muchas implementaciones de pymes. En un entorno minorista, un comprador que camina desde la parte delantera de la tienda hacia la trasera debería realizar la transición entre puntos de acceso de forma transparente. Sin la Movilidad Asistida por AP, su dispositivo podría seguir conectado al punto de acceso delantero incluso cuando la señal sea débil.

Recomendación tres: Planifique su esquema de numeración de VLAN antes de comenzar. Cambiar los ID de VLAN después de la implementación requiere volver a configurar el router, todos los puntos de acceso y, potencialmente, cualquier switch gestionado en la ruta. Documente su esquema con claridad.

¿El mayor error común? Olvidar reiniciar el router DrayTek después de aplicar las configuraciones de RADIUS y Hotspot. DrayOS requiere un reinicio para aplicar estos cambios específicos. Si se salta este paso, pasará horas solucionando problemas en una configuración que en realidad es correcta pero que simplemente aún no está activa. Esto está documentado en la guía de soporte oficial de Purple para el hardware DrayTek.

Hagamos una sesión rápida de preguntas y respuestas.

Pregunta: ¿Puedo utilizar el servidor RADIUS interno del router Vigor?
Respuesta: Puede hacerlo para la autenticación local 802.1X, pero para la integración con Purple, debe utilizar los servidores RADIUS externos de Purple. Esto es lo que permite la gestión centralizada de políticas y las analíticas que ofrece Purple.

Pregunta: ¿Admite DrayTek la redirección dinámica de VLAN a través de RADIUS?
Respuesta: Sí. El servidor RADIUS de Purple devuelve los atributos Tunnel-Type y Tunnel-Private-Group-ID en la autenticación. El router DrayTek los lee y asigna dinámicamente el cliente a la VLAN correcta.

Pregunta: ¿Qué ocurre si el dispositivo iOS de un usuario utiliza una dirección MAC privada con PPSK?
Respuesta: Fallará la autenticación. El perfil PPSK se vincula a una dirección MAC específica. Debe indicar a los usuarios que desactiven la opción Dirección Wi-Fi privada para su red específica en los ajustes de su iOS para garantizar una conectividad estable.

Pregunta: ¿Qué modelos de DrayTek son compatibles con Purple?
Respuesta: Los modelos compatibles actualmente incluyen las series 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 y 3910. Consulte la documentación de soporte de Purple para obtener la lista más reciente.

En resumen: DrayTek y Purple juntos le ofrecen un control de red de nivel empresarial a precios de pyme. Utilice el Captive Portal web para invitados, 802.1X para el personal y PPSK con VLAN para los inquilinos. Planifique sus VLAN con cuidado, configure sus walled gardens y reinicie siempre después de aplicar la configuración de RADIUS. Utilice backhaul cableado para sus puntos de acceso, active AP-Assisted Mobility y planifique la aleatorización de direcciones MAC en dispositivos iOS.

Gracias por asistir a esta sesión técnica. Configure su hardware y nos vemos en la plataforma Purple.

Conclusiones clave

✓Los routers DrayTek Vigor utilizan la función Hotspot Web Portal con el modo External Server para redirigir el tráfico de invitados a la splash page de Purple alojada en la nube para la captura de datos conforme a GDPR.
✓La sección Walled Garden (pestaña Dest Domain) debe incluir todos los dominios de autenticación de Purple antes del despliegue; la falta de entradas es la causa más común de fallos en la splash page.
✓La red WiFi del personal debe utilizar la seguridad WPA2/802.1X Enterprise, autenticándose contra el servidor RADIUS de Purple, para eliminar las contraseñas compartidas y permitir la revocación instantánea del acceso por usuario.
✓Los entornos multi-inquilino utilizan DrayTek WPA2-PPSK en los VigorAPs para asignar contraseñas únicas por inquilino, etiquetando dinámicamente el tráfico en VLANs aisladas en el router Vigor.
✓Todos los VigorAPs deben conectarse al router mediante Ethernet por cable; los modos de repetidor inalámbrico eliminan las etiquetas VLAN 802.1Q y rompen la segmentación de la red.
✓DrayOS requiere un reinicio del router para aplicar cualquier cambio en las configuraciones de RADIUS o del Hotspot Web Portal; este es un paso obligatorio, no opcional.
✓Active AP-Assisted Mobility en los VigorAPs para evitar el comportamiento de clientes persistentes y garantizar sesiones estables de Captive Portal a medida que los usuarios se desplazan por el recinto.

Resumen ejecutivo

Los routers DrayTek Vigor y los puntos de acceso VigorAP están desplegados en decenas de miles de pymes, comercios y establecimientos de hostelería en todo el Reino Unido y Europa. Al integrarse con la capa en la nube de Purple, este hardware se convierte en la base de una red basada en la identidad: captura datos de origen, protege los recursos internos y segmenta el tráfico multiinquilino, todo desde una única plataforma.

Esta guía cubre cuatro escenarios de despliegue: Guest WiFi con una página de bienvenida personalizada y autenticación RADIUS, WiFi seguro para el personal mediante IEEE 802.1X Enterprise, configuración de Walled Garden para permitir el tráfico previo a la autenticación y WiFi multiinquilino mediante la función WPA2-PPSK de DrayTek con asignación dinámica de VLAN. Purple opera en más de 80.000 establecimientos activos con un tiempo de actividad del 99,999 % y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials, por lo que los requisitos de seguridad y cumplimiento a los que se enfrenta su establecimiento ya están integrados en la plataforma.

Los modelos de DrayTek compatibles incluyen las series Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 y 3910. Todos los puntos de acceso VigorAP gestionados a través de Central AP Management (APM) son compatibles con esta integración.

Análisis técnico detallado

Cómo funciona la integración

La integración de DrayTek y Purple se basa en dos mecanismos que funcionan en tándem: la redirección externa del Captive Portal y la autenticación RADIUS (Remote Authentication Dial-In User Service). Purple actúa como el proveedor de identidad centralizado y el motor de políticas. El router DrayTek Vigor actúa como el servidor de acceso a la red (NAS), aplicando las decisiones de acceso devueltas por los servidores RADIUS de Purple.

Cuando un invitado se conecta al SSID de la WiFi, el router DrayTek coloca el dispositivo en un estado previo a la autenticación. Intercepta el tráfico HTTP del dispositivo y lo redirige a la página de bienvenida alojada en la nube de Purple a través de la función Hotspot Web Portal en DrayOS. El usuario completa el flujo de inicio de sesión en la plataforma de Purple, utilizando el inicio de sesión social, correo electrónico, SMS o un proveedor de identidad gestionado como Microsoft Entra ID, Okta o Google Workspace. El servidor RADIUS de Purple devuelve entonces un mensaje Access-Accept al router DrayTek, que concede el acceso a internet e inicia la contabilidad RADIUS en el puerto 1813.

Guest WiFi y el Captive Portal de DrayTek

El Hotspot Web Portal de DrayTek es el mecanismo principal para la autenticación de invitados. En DrayOS, se configura un perfil de Hotspot que define el método del portal, el servidor de autenticación, los límites de sesión y la página de destino. Al establecer el método del portal en External Server, se indica a DrayOS que redirija a los clientes no autenticados a una URL externa (en este caso, su URL de acceso de Purple) en lugar de mostrar una página alojada localmente.

La configuración de RADIUS dentro del Hotspot Profile apunta a la IP del servidor RADIUS de Purple en el puerto 1812 para la autenticación y en el puerto 1813 para la contabilidad (accounting). El secreto compartido debe coincidir exactamente con el que se muestra en su panel de control de puntos de acceso de Purple. Un error de coincidencia aquí es la causa más común de fallos de autenticación.

La gestión de sesiones se controla mediante el ajuste Expired Time After Activation. Para la mayoría de las implantaciones en hostelería y comercio minorista, seis horas es un valor predeterminado práctico. Puede alinear esto con el tiempo de espera de sesión de Purple para garantizar un comportamiento coherente en ambos sistemas.

Configuración de Walled Garden

Antes de que un invitado se autentique, su dispositivo no tiene acceso a internet. Sin embargo, el dispositivo debe poder comunicarse con los servidores de Purple para cargar la página de inicio (splash page). El Walled Garden, configurado a través de la pestaña Dest Domain en el DrayTek Hotspot Profile, define a qué dominios se puede acceder antes de la autenticación.

Debe añadir los dominios de autenticación de Purple a esta lista, uno por índice. Si utiliza proveedores de inicio de sesión social (como Google o Facebook) o un proveedor de identidad gestionado como Microsoft Entra ID, sus dominios también deben incluirse. No configurar el Walled Garden correctamente es la razón más común por la que un Captive Portal de DrayTek no muestra la página de inicio. La documentación de soporte de Purple proporciona la lista actualizada de dominios requeridos para cada método de inicio de sesión.

WiFi seguro para el personal mediante 802.1X

Para el personal interno, un Captive Portal es la herramienta incorrecta. Las contraseñas WPA2 compartidas son un riesgo de seguridad: cuando un empleado se marcha, debe actualizar la contraseña en cada dispositivo. La autenticación empresarial IEEE 802.1X elimina este problema por completo.

En DrayOS, navegue a Wireless LAN > Security y seleccione WPA2/802.1X para el SSID de su personal. Haga clic en el enlace RADIUS Server e introduzca la IP del servidor de Purple, el puerto y el secreto compartido. Los dispositivos del personal se autentican mediante PEAP (Protected Extensible Authentication Protocol) con MS-CHAPv2 como método interno. Esta es la configuración requerida para dispositivos Windows, macOS, iOS y Android que se conectan a una red inalámbrica empresarial.

Purple revoca el acceso a nivel de identidad. Cuando un empleado se marcha, usted deshabilita su cuenta en su proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace). El servidor RADIUS de Purple deja de aceptar inmediatamente las solicitudes de autenticación de esa cuenta. No se requiere ningún cambio de contraseña en todo el establecimiento.

Para obtener más información sobre la arquitectura de seguridad inalámbrica empresarial, consulte nuestra Enterprise WiFi Security: A Complete Guide for 2026 .

Segmentación de red multi-inquilino con DrayTek Multiple PSKs

Los entornos multi-inquilino (hoteles con restaurantes o locales comerciales alquilados, espacios de coworking, residencias de estudiantes y promociones de alquiler residencial) requieren un aislamiento de red estricto entre los inquilinos. Un comprador en un local concesionado no debe poder acceder a la red interna del hotel, y dos inquilinos comerciales no deben poder ver el tráfico del otro.

DrayTek aborda esto con dos funciones complementarias: el etiquetado VLAN y WPA2-PPSK (Clave Precompartida Privada).

La configuración de VLAN en el router Vigor asigna a cada inquilino a una red lógica independiente. Diríjase a LAN > VLAN, habilite la configuración de VLAN y asigne un ID de VLAN único a cada segmento de inquilino. Todos los puertos LAN que se conecten a los VigorAP deben ser miembros de todas las VLAN pertinentes, funcionando eficazmente como puertos troncales 802.1Q. La tabla de enrutamiento inter-LAN en LAN > Configuración general controla si el tráfico puede cruzar entre VLAN; para el aislamiento de inquilinos, esto debe estar deshabilitado.

WPA2-PPSK en el VigorAP asigna una contraseña única a cada inquilino. El punto de acceso vincula esta contraseña a la dirección MAC del dispositivo. Cuando un dispositivo se conecta, el AP identifica la contraseña utilizada y etiqueta el tráfico con el ID de VLAN correspondiente. Esto permite que un único SSID sirva a múltiples redes de inquilinos aisladas simultáneamente, reduciendo la sobrecarga inalámbrica y simplificando la experiencia del usuario final.

Asignación dinámica de VLAN a través de RADIUS

Para despliegues donde la asignación de VLAN deba basarse en la identidad del usuario en lugar de en una contraseña estática, el servidor RADIUS de Purple admite el direccionamiento dinámico de VLAN. Cuando un usuario se autentica, Purple devuelve tres atributos RADIUS en el mensaje Access-Accept:

Atributo RADIUS	Valor
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID de VLAN (p. ej., "20")

El router DrayTek lee estos atributos y asigna el cliente autenticado a la VLAN especificada, independientemente del SSID al que se haya conectado. Esto es Redes Basadas en la Identidad: el segmento de red se determina por quién es el usuario, no por qué contraseña ha introducido.

Guía de implementación

Lista de comprobación previa al despliegue

Antes de comenzar, confirme lo siguiente:

Elemento	Requisito
Firmware de DrayTek	Última versión estable de DrayOS
Punto de acceso de Purple	Creado y activo en el panel de control de Purple
Credenciales RADIUS	URL de acceso, IP del servidor RADIUS, secreto compartido e identificador NAS obtenidos de Purple
Plan de VLAN	IDs de VLAN documentados para Invitados, Personal y cada inquilino
Red de retorno de VigorAP	Ethernet por cable confirmada para todos los puntos de acceso

Paso 1: Configurar RADIUS en el router DrayTek

Diríjase a Aplicaciones > RADIUS/TACACS+ en la interfaz web de DrayOS. En la pestaña RADIUS externo, habilite el perfil e introduzca la dirección IP del servidor RADIUS de Purple, el puerto (1812) y el secreto compartido. Haga clic en Aceptar para guardar. El router requiere un reinicio para aplicar este cambio; no omita este paso.

Paso 2: Crear el perfil del Captive Portal (Hotspot Web Portal)

Diríjase a Hotspot Web Portal > Configuración de perfil y seleccione un índice disponible. Configure el perfil de la siguiente manera:

Ajuste	Valor
Habilitar este perfil	Sí
Portal Method	External Server
Captive Portal URL	Your Purple access URL
Redirection URL	http://portal.draytek.com
Authentication Method	External RADIUS Server
Server IP Address	Purple RADIUS server IP
Destination Port	1812
Shared Secret	Your Purple shared secret
Enable Accounting	Yes
Accounting Port	1813
MAC Address Format	AA-BB-CC-DD-EE-FF

Haga clic en OK para guardar.

Paso 3: Configurar el Walled Garden

Haga clic en Save and Next para continuar a la pestaña Dest Domain. Añada cada dominio de Purple requerido, uno por índice. Consulte la lista actual en la lista blanca de dominios del Walled Garden de Purple en la documentación de soporte. Haga clic en Save and Next para continuar.

Paso 4: Configurar los ajustes de sesión y de la página de destino

En la pantalla de configuración final, establezca:

Setting	Value
Expired Time After Activation	0 days, 6 hours, 0 min (o la duración que prefiera)
HTTPS Redirection	No
Captive Portal Detection	Yes
Landing Page After Authentication	Your Purple redirect URL
Applied Interfaces	Seleccione el/los SSID de la WiFi de invitados

Haga clic en Finish para guardar. Reinicie el router antes de realizar las pruebas.

Paso 5: Configurar VLAN para la segmentación de red

Vaya a LAN > VLAN y habilite VLAN Configuration. Cree una entrada de VLAN para cada segmento de red. Asigne todos los puertos LAN que se conectan a los VigorAP como miembros de todas las VLAN relevantes (configuración de trunk). Vaya a LAN > General Setup y utilice la Inter-LAN Routing Table para bloquear el acceso entre VLAN donde sea necesario.

Paso 6: Configurar 802.1X para la WiFi del personal

Vaya a Wireless LAN > Security y seleccione el SSID del personal. Establezca el modo de seguridad en WPA2/802.1X. Haga clic en el enlace RADIUS Server e introduzca la IP del servidor de Purple, el puerto 1812 y el secreto compartido. Guarde la configuración.

Paso 7: Configurar PPSK para el aislamiento multiinquilino

En cada VigorAP, vaya a Wireless LAN > Security Settings y seleccione WPA2PPSK. Haga clic en el botón PPSK para añadir entradas. Para cada inquilino, cree una entrada PPSK con la dirección MAC del dispositivo del inquilino y una contraseña única. Asegúrese de que la contraseña esté asociada con la VLAN correcta en la configuración de su router. Tenga en cuenta que los perfiles PPSK para 2.4GHz y 5GHz se gestionan por separado en los VigorAP.

Buenas prácticas

Las siguientes recomendaciones reflejan la experiencia de despliegue de Purple en más de 80.000 establecimientos, incluidos entornos de hostelería , comercio minorista , sanidad y transporte .

Utilice backhaul por cable para todos los VigorAP. Los sistemas de distribución inalámbrica (WDS) y los modos de repetidor universal no pueden transmitir etiquetas VLAN 802.1Q. Si necesita segmentación de red (y la necesita en cualquier establecimiento multiinquilino o de uso mixto), cada punto de acceso debe conectarse al router o a un switch gestionado a través de Ethernet. Active la movilidad asistida por AP. Los DrayTek VigorAPs admiten la preautenticación y el almacenamiento en caché de PMK para acelerar la reautenticación 802.1X cuando un cliente realiza roaming entre puntos de acceso. Active la movilidad asistida por AP para desasociar activamente a los clientes con una intensidad de señal débil, obligándolos a conectarse al AP más cercano. Esto es especialmente importante en entornos minoristas donde los compradores se mueven continuamente por el espacio.

Planifique su esquema de VLAN antes del despliegue. Cambiar las ID de VLAN después del despliegue requiere volver a configurar el router, todos los puntos de acceso y cualquier switch gestionado en la ruta. Documente su esquema (VLAN 10 para invitados, VLAN 20 para el personal, VLAN 30+ para inquilinos) antes de tocar el hardware.

Alinee los tiempos de espera de sesión entre DrayTek y Purple. Si el perfil de Hotspot de DrayTek expira una sesión después de seis horas pero la sesión de Purple está configurada para 24 horas, los usuarios serán redirigidos a la página de inicio (splash page) a mitad de la sesión. Configure ambos con el mismo valor.

Desactive la aleatorización de MAC para despliegues de PPSK. Los dispositivos iOS y macOS utilizan direcciones de WiFi privadas (MAC aleatorias) de forma predeterminada. Dado que DrayTek PPSK vincula una frase de contraseña a una dirección MAC específica, la aleatorización provocará fallos de autenticación. Indique a los usuarios que desactiven esta configuración para su red o documente el proceso claramente en su flujo de incorporación.

Utilice Band Steering en los VigorAPs. Active Band Steering para guiar a los dispositivos con capacidad de doble banda a la banda de 5 GHz. Esto reduce la congestión en la banda de 2.4GHz y mejora el rendimiento de todos los dispositivos conectados.

Para obtener una visión más amplia de la arquitectura de seguridad inalámbrica empresarial, consulte nuestra guía sobre Enterprise WiFi Security: A Complete Guide for 2026 . Si está realizando un despliegue en múltiples ubicaciones con diferentes proveedores de hardware, nuestra guía SonicWall TZ and SonicWave Integration with Purple WiFi cubre un patrón de integración comparable.

Resolución de problemas y mitigación de riesgos

La página de inicio (splash page) no se carga. La causa más común es un Walled Garden incompleto. Verifique que todos los dominios requeridos de Purple estén listados en la pestaña Dest Domain. Confirme también que el pool de DHCP para invitados esté activo y que la resolución de DNS funcione para los clientes preautenticados. Realice una prueba conectando un dispositivo e intentando navegar a una URL HTTP conocida.

Fallo de autenticación RADIUS. Compruebe si hay errores tipográficos en el secreto compartido (distingue entre mayúsculas y minúsculas). Confirme que el router DrayTek tiene ruta a internet y no está bloqueando el tráfico UDP saliente en los puertos 1812 y 1813. Verifique que ha reiniciado el router después de aplicar la configuración de RADIUS. Revise el panel de control de Purple para ver los registros de autenticación e identificar si la solicitud está llegando a los servidores de Purple.

Clientes asignados a la VLAN incorrecta. Verifique la configuración del puerto trunk entre el router DrayTek y los VigorAPs. Los puertos del switch deben permitir las etiquetas VLAN específicas. Si utiliza un switch no gestionado, confirme que transmite tramas etiquetadas 802.1Q sin eliminar las etiquetas. Compruebe el perfil PPSK para confirmar que la asignación de contraseña a VLAN es correcta.

Clientes adherentes (sticky) que no realizan roaming. Si los dispositivos no realizan roaming entre los VigorAPs como se esperaba, verifique que la función AP-Assisted Mobility esté habilitada y que el umbral de RSSI esté configurado de forma adecuada para su establecimiento. Confirme también que todos los VigorAPs ejecutan la misma versión de firmware, ya que las inconsistencias pueden afectar al comportamiento del roaming.

Dispositivos iOS que fallan en la autenticación PPSK. Confirme que el usuario ha desactivado la opción Dirección WiFi privada para su red específica en Ajustes > WiFi > [Nombre de la red] > Dirección WiFi privada. El perfil PPSK debe contener la dirección MAC de hardware real del dispositivo.

ROI e impacto empresarial

La implementación de hardware DrayTek con Purple ofrece un retorno medible en tres áreas: eficiencia operativa, captura de datos y cumplimiento normativo.

Eficiencia operativa. La autenticación 802.1X elimina la carga de trabajo que supone gestionar contraseñas de WiFi compartidas. Cuando un miembro del personal se marcha, usted desactiva su cuenta en Microsoft Entra ID, Okta o Google Workspace. El servidor RADIUS de Purple deja de aceptar sus credenciales de inmediato. No se requiere una rotación de contraseñas en todo el establecimiento. Para una cadena minorista de 50 tiendas, esto por sí solo elimina cientos de horas de trabajo de TI al año.

Captura de datos y ROI de marketing. Cada invitado que se conecta a través del Captive Portal de Purple proporciona una identidad verificada: dirección de correo electrónico, número de teléfono o perfil social. Estos datos de origen (first-party data) se integran directamente en la plataforma de WiFi Analytics de Purple, donde puede realizar un seguimiento del tiempo de permanencia, las tasas de visitas repetidas y la interacción con las campañas. Purple ha recopilado 29.000 millones de puntos de datos en toda su red. Los establecimientos que utilizan el plan Engage de Purple informan de incrementos medibles en las tasas de visitas repetidas a través de comunicaciones dirigidas posteriores a la visita.

Cumplimiento normativo. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y tiene la certificación Cyber Essentials. El Captive Portal obliga a realizar un consentimiento explícito (opt-in), garantizando que la recopilación de datos cumple con los requisitos del GDPR. La segmentación por VLAN aísla los entornos de tarjetas de pago del tráfico de invitados, lo que contribuye al cumplimiento de PCI DSS. En el caso de los centros sanitarios, el aislamiento de las redes de pacientes y visitantes cumple con las directrices del NHS y la ICO sobre el tratamiento de datos.

Para obtener una visión detallada de cómo Purple impulsa la toma de decisiones basada en análisis en entornos físicos, consulte nuestra descripción general de la plataforma de WiFi Analytics .

Definiciones clave

Captive Portal

Una página web que intercepta el tráfico HTTP de un usuario y requiere interacción (inicio de sesión, aceptación de términos o envío de datos) antes de conceder acceso a la red.

El mecanismo que Purple utiliza para capturar datos de invitados de primera mano en el DrayTek Hotspot Web Portal. Se configura a través del método de portal External Server en DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red.

El router DrayTek envía solicitudes de autenticación al servidor RADIUS de Purple en el puerto UDP 1812 y datos de contabilidad en el puerto 1813. El secreto compartido debe coincidir en ambos lados.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Requiere que los dispositivos se autentiquen con un servidor RADIUS antes de que se les conceda acceso a la red.

Utilizado para el WiFi del personal en el hardware de DrayTek. Elimina las contraseñas compartidas y permite la revocación del acceso por usuario a través del proveedor de identidad.

VLAN

Virtual Local Area Network. Un segmento de red lógico que aísla el tráfico en la Capa 2, incluso cuando los dispositivos comparten la misma infraestructura física.

Utilizado en los routers DrayTek Vigor para separar el tráfico de invitados, personal e inquilinos. Requiere puertos troncales 802.1Q entre el router y los VigorAPs.

Walled Garden

Un conjunto de dominios o rangos de IP a los que los usuarios no autenticados pueden acceder antes de completar el flujo del Captive Portal.

Configurado en la pestaña Dest Domain del perfil de Hotspot de DrayTek. Debe incluir los servidores de autenticación de Purple y cualquier dominio de proveedor de identidad utilizado para el inicio de sesión.

PPSK

Private Pre-Shared Key. Un método de seguridad en el que a cada usuario o dispositivo se le asigna una frase de contraseña única, en lugar de compartir una única contraseña de red.

Utilizado en los DrayTek VigorAPs para asignar dispositivos multiinquilino a VLANs específicas. La frase de contraseña está vinculada a la dirección MAC del dispositivo.

AP-Assisted Mobility

Una función de DrayTek VigorAP que supervisa la intensidad de la señal del cliente y desasocia activamente a los clientes por debajo de un umbral de RSSI definido, incitándoles a realizar roaming a un punto de acceso más cercano.

Crítico para despliegues en comercios y hostelería donde los usuarios se desplazan por el establecimiento. Evita el comportamiento de cliente persistente que provoca caídas de sesión en el Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Un método EAP de 802.1X que encapsula el intercambio de autenticación en un túnel TLS, protegiendo las credenciales en tránsito.

El método EAP utilizado para el WiFi del personal en el hardware de DrayTek. Se combina con MS-CHAPv2 como método de autenticación interna para dispositivos Windows, macOS, iOS y Android.

Asignación dinámica de VLAN

Un mecanismo en el que el servidor RADIUS devuelve atributos de VLAN en el mensaje Access-Accept, y el dispositivo de red asigna automáticamente al cliente autenticado a la VLAN especificada.

El servidor RADIUS de Purple devuelve los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek aplica la asignación de VLAN en función de la identidad del usuario.

Ejemplos prácticos

Un hotel boutique de 150 habitaciones va a implantar un router DrayTek Vigor 2865 con seis puntos de acceso VigorAP 903. Necesitan ofrecer un WiFi para invitados de marca con captura de datos, un WiFi seguro para el personal para 40 empleados y una red aislada para un restaurante alquilado en la planta baja. El responsable de TI del hotel nunca ha configurado 802.1X anteriormente.

El responsable de TI crea tres VLAN en el Vigor 2865: VLAN 10 para invitados (192.168.10.0/24), VLAN 20 para el personal (192.168.20.0/24) y VLAN 30 para el restaurante (192.168.30.0/24). El enrutamiento inter-LAN se deshabilita entre los tres segmentos. Los seis dispositivos VigorAP 903 se conectan mediante Ethernet y se gestionan a través de Central AP Management en el router. Se emiten tres SSID: "Hotel Guest" (VLAN 10, Captive Portal web que apunta a Purple), "Hotel Staff" (VLAN 20, WPA2/802.1X que apunta a Purple RADIUS) y "Restaurant" (VLAN 30, WPA2-PPSK con una contraseña específica para los dispositivos TPV del restaurante). La entrada PPSK del restaurante vincula las direcciones MAC de los TPV a la VLAN 30. El responsable de TI registra el inquilino de Microsoft Entra ID del hotel con Purple, lo que permite al personal autenticarse con sus credenciales de empresa existentes. El Walled Garden se configura con todos los dominios de Purple requeridos. Tras reiniciar el router, el responsable de TI prueba cada SSID y confirma la asignación correcta de VLAN a través de la tabla de concesión DHCP del router.

Comentario del examinador: Esta configuración separa correctamente tres poblaciones de usuarios distintas utilizando el método de autenticación adecuado para cada una. Los invitados utilizan un Captive Portal para la captura de datos y el consentimiento conforme a GDPR. El personal utiliza 802.1X para el acceso basado en credenciales vinculado a su proveedor de identidad existente, lo que elimina la necesidad de una contraseña independiente. El restaurante utiliza PPSK para aislar los dispositivos TPV sin requerir la configuración del cliente 802.1X en hardware sin interfaz de usuario. El backhaul cableado garantiza que las etiquetas VLAN se conserven en todo momento.

Una cadena de tiendas con 80 establecimientos está experimentando bajas tasas de finalización en el Captive Portal. Los análisis muestran que el 40 % de los compradores que se conectan al SSID de WiFi para invitados nunca llegan a la página de bienvenida. La cadena utiliza routers DrayTek Vigor 2865 y puntos de acceso VigorAP 912C. El diseño de las tiendas es amplio, con puntos de acceso en ambos extremos de la planta.

El administrador de red investiga dos causas principales. En primer lugar, audita la configuración del Walled Garden en los 80 centros utilizando VigorACS 3, la plataforma de gestión centralizada de DrayTek. Descubre que en 23 centros faltan dos de los dominios de autenticación de Purple requeridos, lo que provoca que la página de bienvenida agote el tiempo de espera para los compradores en esas redes. Actualiza los perfiles de Hotspot de forma centralizada a través de VigorACS 3. En segundo lugar, habilita AP-Assisted Mobility en todos los VigorAP con un umbral RSSI de -75 dBm. Esto obliga a los dispositivos de los compradores a realizar roaming al AP más cercano a medida que se desplazan por la tienda, lo que evita el problema de los clientes adherentes (sticky clients) que provocaba la caída de las sesiones del Captive Portal a mitad de la autenticación. Tras ambos cambios, la tasa de finalización del portal aumenta del 60 % al 89 % en todo el parque de tiendas.

Comentario del examinador: Este ejemplo ilustra dos modos de fallo distintos que se presentan como bajas tasas de finalización del portal. Una configuración incorrecta del Walled Garden impide que la página de bienvenida se cargue por completo. El comportamiento de cliente adherente provoca caídas de sesión a mitad del flujo. La gestión centralizada a través de VigorACS 3 es el enfoque correcto para un parque multi-sitio; auditar manualmente 80 routers de forma individual sería inviable. AP-Assisted Mobility es el mecanismo específico de DrayTek que resuelve el problema del roaming; confiar en las decisiones de roaming del lado del cliente no es fiable en entornos de retail.

Preguntas de práctica

Q1. Has configurado el DrayTek Hotspot Web Portal y lo has apuntado a la URL de acceso de Purple. Los ajustes de RADIUS son correctos. Sin embargo, cuando los clientes se conectan al SSID de la Guest WiFi, sus navegadores informan de un tiempo de espera agotado y la página de inicio (splash page) nunca se carga. ¿Cuál es la causa más probable y cuál es el primer paso para diagnosticarla?

Sugerencia: Los clientes en estado de preautenticación tienen un acceso a la red muy restringido. Considera qué tráfico permite el router antes de que se complete la autenticación.

Ver respuesta modelo

La causa más probable es una configuración incompleta o ausente del Walled Garden. El router DrayTek bloquea todo el tráfico de los clientes no autenticados, excepto hacia los dominios explícitamente listados en la pestaña Dest Domain. Si los dominios de autenticación de Purple no están listados, el navegador del cliente no puede llegar al servidor de la splash page. El primer paso de diagnóstico es navegar al Hotspot Profile, ir a la pestaña Dest Domain y verificar que todos los dominios requeridos de Purple estén presentes. Contrasta esto con la lista blanca de dominios del Walled Garden de Purple en la documentación de soporte. Una comprobación secundaria es confirmar que el DNS se está resolviendo correctamente para los clientes preautenticados.

Q2. Un espacio de coworking tiene 12 empresas miembro que comparten un único DrayTek Vigor 2865 y cuatro puntos de acceso VigorAP 912C. Cada empresa necesita estar aislada de las demás, pero el gestor del espacio quiere emitir un solo SSID para evitar saturar la lista de WiFi en los dispositivos de los miembros. ¿Cómo diseñarías esta arquitectura?

Sugerencia: Considera cómo gestiona DrayTek las contraseñas únicas en un solo SSID y qué configuración adicional se necesita para aplicar el aislamiento entre empresas.

Ver respuesta modelo

Configura WPA2-PPSK en los VigorAP con un único SSID. Crea 12 VLAN en el Vigor 2865, una por empresa. Para cada empresa, crea una entrada PPSK que vincule una contraseña única a las direcciones MAC de los dispositivos de esa empresa y asígnalas a su VLAN dedicada. Desactiva el enrutamiento inter-VLAN en la tabla Inter-LAN Routing Table para evitar el tráfico entre empresas. Los dispositivos de cada empresa se conectan al mismo SSID utilizando su contraseña única, y el VigorAP los ubica automáticamente en su VLAN aislada. Para empresas con múltiples dispositivos, cada dispositivo necesita su propia entrada PPSK con su dirección MAC específica y la contraseña compartida de la empresa.

Q3. Tras una actualización rutinaria de firmware en un DrayTek Vigor 2865, los miembros del personal informan de que sus portátiles ya no pueden conectarse al SSID de la Staff WiFi. El SSID es visible, pero la autenticación falla. La Guest WiFi sigue funcionando con normalidad. ¿Cuáles son las tres causas más probables y en qué orden deberías investigarlas?

Sugerencia: La Guest WiFi utiliza un mecanismo de autenticación diferente al de la Staff WiFi. Aísla qué capa de la pila 802.1X ha fallado.

Ver respuesta modelo

Las tres causas más probables son: (1) La actualización de firmware restableció la configuración del servidor RADIUS para el SSID WPA2/802.1X: navega a Wireless LAN > Security, confirma que la IP del servidor RADIUS y el secreto compartido siguen siendo correctos, y reinicia si realizas algún cambio. (2) La actualización de firmware cambió el método EAP o la configuración del puerto RADIUS: verifica que el puerto 1812 siga configurado y que el router pueda comunicarse con el servidor RADIUS de Purple a través de ese puerto. (3) La actualización de firmware introdujo un cambio de certificado que está provocando que falle la validación EAP-TLS en los dispositivos cliente: comprueba el panel de control de Purple para ver los registros de autenticación y confirmar si las solicitudes están llegando al servidor. Investiga en este orden: primero la configuración de RADIUS (lo más común tras una actualización de firmware), luego la conectividad de red con el servidor RADIUS y, por último, los problemas de certificados o del método EAP.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.