Grandstream GWN and guest WiFi: captive portal setup with Purple

Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy vamos a cubrir un patrón de despliegue que es cada vez más común en el sector de la hostelería, el comercio minorista y las propiedades multi-inquilino: la integración de los puntos de acceso Grandstream GWN con la plataforma de WiFi para invitados de Purple. Si es usted un MSP, un equipo de TI interno o un arquitecto de redes a quien se le ha asignado un despliegue de Grandstream GWN y se le ha pedido que incorpore un Captive Portal de marca con análisis, este episodio es para usted. Cubriremos toda la pila: redirección de la página de inicio para invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X y segmentación multi-inquilino mediante la función Private Pre-Shared Key de Grandstream. Comencemos. --- En primer lugar, un poco de contexto. La serie GWN de Grandstream es una gama sólida de puntos de acceso para el mercado medio. Dispone de los modelos GWN7600 y GWN7630 para despliegues en interiores, los GWN7660 y GWN7664 para entornos Wi-Fi 6, y el GWN7610 como opción de montaje en techo para espacios de mayor densidad. Se gestionan bien a través de GWN Manager, que es un controlador local que se instala en un servidor Linux o Windows, o a través de GWN dot Cloud, que es la plataforma de gestión alojada en la nube de Grandstream, ahora rebautizada como GDMS Networking. La buena noticia para los MSP es que ambas plataformas de gestión admiten de forma nativa la configuración del Captive Portal. Puede crear la política del portal, personalizar la página de inicio y asociarla con un SSID completamente dentro de GWN Manager o GWN dot Cloud. Pero para despliegues empresariales en los que necesita capturar datos de conformidad con el GDPR, automatización de marketing y análisis en tiempo real, va a sustituir ese portal nativo por una plataforma externa. Ahí es donde entra Purple. Purple funciona como una capa superpuesta en la nube. Se sitúa por encima de su hardware y proporciona el Captive Portal, la capa de autenticación RADIUS, el motor de análisis y las herramientas de marketing. Purple da soporte a 80.000 sedes activas y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está más que probada a escala. La integración con Grandstream GWN sigue el mismo enfoque basado en estándares que Purple utiliza en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. --- Entremos en la arquitectura técnica. El flujo de WiFi para invitados en Grandstream GWN con Purple funciona de la siguiente manera. Un invitado se conecta a su SSID de invitados. Su dispositivo envía una solicitud HTTP a cualquier sitio web. El punto de acceso GWN intercepta esa solicitud y emite una redirección HTTP 302 a la URL del portal de Purple. El invitado llega a su página de inicio personalizada, alojada por Purple. Se autentica, ya sea por correo electrónico, inicio de sesión social, verificación por SMS o un formulario personalizado. La plataforma de Purple valida esa autenticación, registra el consentimiento y los datos de conformidad con el GDPR, y luego envía un RADIUS Access-Accept de vuelta al punto de acceso GWN. El AP concede el acceso a internet. Todo el flujo tarda entre tres y cinco segundos desde la conexión hasta el acceso a internet.Ahora, los componentes clave de la configuración en el lado de Grandstream son: la política del Captive Portal, los ajustes de la página de bienvenida, el walled garden y la asociación de SSID. Permítame guiarle a través de cada uno. --- Paso uno: configure la política del Captive Portal en GWN Manager o GWN dot Cloud. Vaya a Captive Portal, luego a Policy List, y cree una nueva política. Asígnele un nombre descriptivo, algo como "Purple-Guest-Portal". Establezca el Authentication Type en RADIUS Server. A continuación, verá los campos para RADIUS Server Address, RADIUS Server Port y RADIUS Server Secret. Introduzca la dirección IP del servidor RADIUS de Purple y el puerto 1812 para la autenticación. Su secreto compartido se obtiene de la consola de administración del portal de Purple, en la sección de configuración de hardware del establecimiento. Establezca el RADIUS Authentication Method en PAP, que es el que utiliza el flujo del Captive Portal de Purple. En Landing Page, configure esto como Redirect to External Page e introduzca la URL de redirección del portal de Purple. Esta es la URL a la que se enviará a los clientes cuando se conecten por primera vez. Una vez más, esto se obtiene de su consola de administración de Purple. Establezca el Expiration time para que coincida con la política de sesión de su establecimiento. Para un hotel, lo habitual son 24 horas. Para el recinto de una conferencia, puede configurarlo para la duración del evento. Para un entorno de retail, lo común son de dos a cuatro horas. Active el Failsafe Mode. Esto es importante. Si el punto de acceso GWN no puede comunicarse con el servidor RADIUS de Purple, el modo de seguridad permite el acceso a Internet de todos modos en lugar de bloquear a todos los clientes. Para la mayoría de las implantaciones en hostelería y retail, una breve interrupción de RADIUS no debería provocar que todos los clientes pierdan la conectividad. --- Paso dos: configure el walled garden. El walled garden es la lista de dominios y direcciones IP a los que los clientes pueden acceder antes de haberse autenticado a través del portal. Si configura esto de forma incorrecta, los clientes verán una página en blanco o un portal que no funciona, y culparán al WiFi. En GWN Manager, el walled garden se configura bajo la política del Captive Portal como Pre-Authentication Rules. Añada los siguientes dominios como reglas de permiso: el dominio del portal de Purple, que es portal dot purple dot ai; cualquier dominio de CDN desde el que la página de bienvenida de Purple cargue recursos, incluido cloudfront dot net mediante una entrada de comodín; el endpoint de detección de Captive Portal de Apple, captive dot apple dot com; y el endpoint de comprobación de conectividad de Google, connectivitycheck dot gstatic dot com. El portal de soporte de Purple dispone de un generador dinámico de walled garden en support dot purple dot ai. Seleccione Grandstream en la lista de hardware, elija sus métodos de autenticación y se generará la lista exacta de dominios que necesita. Utilice esa lista. No intente crearla manualmente desde cero. Una decisión que debe tomar: ¿incluye captive dot apple dot com en el walled garden o no? Si lo incluye, los dispositivos iOS no mostrarán el mini-navegador Captive Network Assistant de forma automática. Los invitados deberán abrir un navegador manualmente para acceder al portal. Si lo excluye, iOS inicia el mini-navegador automáticamente cuando el dispositivo se conecta. Para la mayoría de los despliegues de hostelería, le interesará que aparezca el mini-navegador, así que deje captive dot apple dot com fuera del walled garden. --- Paso tres: configurar el SSID. En GWN Manager, navegue a SSID y edite su SSID de invitados. Active Captive Portal y seleccione la política que acaba de crear. Configure el SSID como WPA2-Personal con una contraseña abierta sencilla, o configúrelo como un SSID abierto si su establecimiento prefiere esa opción. La seguridad en este flujo proviene de la autenticación del portal, no de la contraseña de la WiFi. Active Client Isolation. Esto evita que los invitados vean los dispositivos de los demás en la red. Es un requisito de seguridad básico y una consideración PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma infraestructura. Asigne el SSID a su VLAN de invitados. VLAN 10 es una convención habitual para el tráfico de invitados. Asegúrese de que su switch y router de subida estén configurados para enrutar esa VLAN a internet con las reglas de firewall correspondientes. --- Ahora hablemos de la WiFi para el personal mediante 802.1X. IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos. Para la WiFi del personal, sustituye la clave precompartida común por credenciales por usuario, validadas contra un proveedor de identidad. Cuando un miembro del personal se conecta, el punto de acceso GWN actúa como autenticador, su dispositivo es el suplicante y el servidor RADIUS de Purple es el servidor de autenticación. En GWN Manager, cree un SSID independiente para el personal. Establezca el modo de seguridad en WPA2-Enterprise, lo que activa 802.1X. Configure los ajustes del servidor RADIUS con la IP de RADIUS de Purple, el puerto 1812 y su secreto compartido. Active RADIUS Accounting en el puerto 1813 para obtener un registro de auditoría completo de quién se conectó, cuándo y durante cuánto tiempo. Este registro de auditoría es lo que necesita para el cumplimiento de GDPR y para responder a cualquier incidente de seguridad. Para el método EAP, tiene dos opciones principales. EAP-TLS utiliza certificados digitales tanto en el servidor como en el dispositivo del cliente. Es la opción más segura, pero requiere una plataforma de gestión de dispositivos móviles para enviar los certificados a los dispositivos del personal. Si dispone de Microsoft Intune o Jamf, EAP-TLS es la opción correcta. PEAP, que significa Protected EAP, utiliza un nombre de usuario y una contraseña dentro de un túnel TLS cifrado. Es más fácil de implementar, especialmente para entornos BYOD, pero debe asegurarse de que el personal esté formado para no aceptar avisos de certificado. Un punto de acceso no autorizado puede recopilar credenciales PEAP si los usuarios hacen clic en los errores de certificado.Habilite la asignación de VLAN dinámica en los ajustes del SSID. Cuando esta opción está activada, el servidor RADIUS puede devolver un ID de VLAN en el paquete Access-Accept, y el AP GWN colocará el dispositivo conectado en esa VLAN. Esto significa que puede tener un único SSID para el personal pero segmentar automáticamente al equipo de TI en la VLAN 20, a la dirección en la VLAN 21 y a los dispositivos de punto de venta en la VLAN 40, todo basándose en la identidad del usuario en el directorio de Purple. Los atributos RADIUS para VLAN dinámica son: Tunnel-Type establecido en VLAN, que es el valor de atributo 13; Tunnel-Medium-Type establecido en IEEE-802, que es el valor de atributo 6; y Tunnel-Private-Group-ID establecido en el número de VLAN como una cadena. Estos tres atributos en el paquete Access-Accept son todo lo que el AP GWN necesita para dirigir el dispositivo a la VLAN correcta. - Pasemos ahora a la función que es de especial relevancia para propiedades con múltiples inquilinos: las claves compartidas previamente privadas de Grandstream, o PPSK. PPSK es un mecanismo que permite que un único SSID admita varias contraseñas únicas, cada una de ellas asignada a una VLAN o política de red diferente. Piense en un bloque de apartamentos de alquiler, un espacio de coworking o un edificio de oficinas de servicios gestionados. Desea un único SSID visible para todos, pero cada inquilino obtiene su propia contraseña que lo coloca en su propio segmento de red aislado. En GWN Manager, PPSK se configura en los ajustes del SSID. Establezca el Security Mode en WPA2-Personal y, a continuación, habilite PPSK. Después puede crear entradas PSK individuales, cada una con una contraseña única y un ID de VLAN asociado. Cuando un dispositivo se conecta utilizando la contraseña del Inquilino A, el AP lo coloca en la VLAN 31. Cuando un dispositivo utiliza la contraseña del Inquilino B, entra en la VLAN 32. Los inquilinos comparten el mismo SSID pero están completamente aislados entre sí en la capa de red. Para implementaciones más grandes, Grandstream también es compatible con PPSK con backend RADIUS. En este modo, el AP envía la PSK como un atributo RADIUS al servidor de autenticación, que la valida y devuelve la asignación de VLAN adecuada. Aquí es donde la función Identity-Based Networks de Purple se integra directamente. Purple puede gestionar la base de datos PPSK, validar las claves con su directorio y devolver asignaciones de VLAN dinámicas, lo que le ofrece una gestión centralizada de cientos de credenciales de inquilinos desde una única plataforma. El atributo RADIUS utilizado para la validación de PPSK suele ser el atributo Tunnel-Password, o un atributo específico del proveedor según la versión de firmware. Consulte las notas de la versión de Grandstream para su versión específica de firmware, ya que el mapeo de atributos ha evolucionado en las distintas versiones de GWN Manager. - Permítame cubrir los dos modos de fallo más comunes que veo en las implementaciones de Grandstream con portales externos. El primero es que el redireccionamiento no se active. Un invitado se conecta al SSID, abre un navegador y recibe un error de "no se puede acceder al sitio" en lugar de la página del portal. La causa más probable es una configuración incorrecta de la walled garden. La propia página del portal se está bloqueando antes de la autenticación. Abra las herramientas de desarrollo de su navegador en un dispositivo de prueba conectado al SSID de invitados, consulte la pestaña de red e identifique qué solicitudes están fallando. Añada esos dominios a sus reglas de preautenticación. El segundo modo de fallo es el tiempo de espera de RADIUS (timeout). El AP envía un Access-Request al servidor RADIUS de Purple y no obtiene respuesta. Esto suele significar que un firewall está bloqueando el puerto UDP 1812 saliente desde la VLAN de gestión del AP hacia el rango de IP de RADIUS de Purple. Compruebe las reglas de su firewall. Las direcciones IP de RADIUS de Purple están documentadas en la consola de administración de Purple, dentro de la configuración del espacio. Asegúrese de que se permiten tanto la IP de RADIUS primaria como la secundaria. Un tercero que vale la pena mencionar: la VLAN dinámica no funciona. El personal se conecta y aterriza en la VLAN incorrecta. La causa más común es que la opción Enable Dynamic VLAN no esté marcada en la configuración del SSID en GWN Manager. Es una única casilla de verificación que resulta fácil pasar por alto. La segunda causa es una discrepancia en el secreto compartido. Si el secreto compartido en el AP no coincide con el configurado en Purple, el AP descarta silenciosamente la respuesta de RADIUS y recurre a la VLAN predeterminada. - Permítame presentarle dos escenarios del mundo real para concretar esto. Escenario uno: un hotel de 120 habitaciones. El hotel cuenta con puntos de acceso GWN7660 gestionados a través de GWN dot Cloud. Necesitan un portal de invitados personalizado para los huéspedes, una red de personal segura para la recepción y el servicio de limpieza, y una VLAN de gestión independiente para el sistema de gestión de la propiedad (PMS). La configuración utiliza tres SSIDs: Guest WiFi en la VLAN 10 con la política de Captive Portal de Purple; Staff WiFi en la VLAN 20 con autenticación WPA2-Enterprise y PEAP contra el RADIUS de Purple; y un SSID de gestión oculto en la VLAN 30 para los terminales del PMS. La asignación dinámica de VLAN en el SSID del personal significa que los dispositivos del servicio de limpieza aterrizan en la VLAN 21 con acceso a internet restringido, mientras que los dispositivos de recepción aterrizan en la VLAN 20 con acceso total. El panel de analíticas de Purple muestra al operador del hotel el recuento diario de invitados, la duración de las sesiones y las tasas de aceptación para marketing, ofreciendo al equipo de marketing los datos que necesitan para ejecutar campañas dirigidas.Escenario dos: un bloque de apartamentos de alquiler de 40 unidades. El operador utiliza puntos de acceso GWN7630 con GWN Manager local. Cada apartamento necesita su propia red aislada. El operador utiliza PPSK con back-end RADIUS. Purple gestiona 40 credenciales de inquilino únicas, cada una asignada a una VLAN dedicada. Los residentes se conectan a la única SSID "BuildingConnect" utilizando la contraseña de su unidad. El portal de Purple gestiona el flujo de registro inicial, registra el consentimiento de los residentes y proporciona al operador análisis de ocupación y datos de interacción. Cuando un residente se muda, el operador revoca su credencial PPSK en la consola de administración de Purple, y el acceso se interrumpe inmediatamente. No hay necesidad de cambiar la contraseña de la SSID ni de volver a configurar los puntos de acceso. --- Preguntas rápidas. Tres preguntas que me hacen constantemente sobre las implementaciones de Grandstream. Pregunta uno: ¿Puedo utilizar GWN dot Cloud en lugar de GWN Manager para la integración con Purple? Sí. La configuración del portal cautivo en GWN dot Cloud es funcionalmente idéntica a la de GWN Manager. Las rutas de menú son las mismas. Los ajustes de RADIUS y del walled garden están en las mismas ubicaciones. GWN dot Cloud es la mejor opción para los MSP que gestionan varios sitios, ya que se obtiene un panel de control único para todas las instalaciones. Pregunta dos: ¿Admite Purple los análisis nativos de Grandstream junto con los suyos propios? Purple sustituye los análisis nativos de Captive Portal por su propio conjunto de datos, más detallado. Obtiene recuentos de sesiones, tiempos de permanencia, tasas de aceptación, datos demográficos de los campos de formulario e integración con plataformas de marketing. Los análisis nativos de GWN para el rendimiento de RF, el estado de los puntos de acceso y el recuento de clientes siguen estando disponibles en GWN Manager o GWN dot Cloud junto con los análisis del portal de Purple. Pregunta tres: ¿Qué versión de firmware necesito en los puntos de acceso GWN para PPSK con RADIUS? PPSK con back-end RADIUS requiere el firmware de GWN versión 1.0.19 o superior en la serie GWN76xx. Compruebe las notas de la versión de Grandstream antes de la implementación. Ejecutar un firmware desactualizado es la causa más común de comportamientos inesperados en las implementaciones de PPSK. --- Para terminar. La integración de los puntos de acceso Grandstream GWN con Purple es un proceso sencillo cuando se sigue la secuencia adecuada. Configure primero los ajustes del servidor RADIUS en la política del portal cautivo. Cree su walled garden con la herramienta de generación de dominios de Purple. Asocie la política a su SSID de invitados y active el aislamiento de clientes. Para el WiFi del personal, active WPA2-Enterprise con asignación dinámica de VLAN. Para propiedades multi-inquilino, utilice PPSK con back-end RADIUS y gestione las credenciales de forma centralizada a través de Purple. Las cinco cosas que debe hacer bien: RADIUS en UDP 1812 con un secreto compartido coincidente; el walled garden que cubra todos los dominios de recursos del portal; aislamiento de clientes activado en la SSID de invitados; VLAN dinámica activada en los ajustes de la SSID; y el firmware PPSK en la versión 1.0.19 o superior. Haga bien esos cinco pasos y tendrá una implementación sólida y escalable que dará servicio a su establecimiento durante años. El equipo de incorporación de Purple puede validar su configuración antes del lanzamiento, y el 99,999 % de tiempo de actividad de la plataforma significa que no tendrá que explicar caídas del portal a los huéspedes del hotel a las dos de la mañana. Gracias por escucharnos. Para obtener más guías técnicas sobre integraciones de WiFi empresarial, visite purple punto ai. En el próximo episodio, cubriremos la asignación dinámica de VLAN con Microsoft Entra ID y la función SecurePass de Purple. Hasta la próxima.