Guía de integración de MikroTik RouterOS Captive Portal y Purple WiFi

Guía de integración de MikroTik RouterOS Captive Portal y Purple WiFi - Guion del podcast [INTRO - aproximadamente 1 minuto] Bienvenido. Si gestiona una infraestructura WiFi en un hotel, una cadena de tiendas, un estadio o un centro de conferencias, y utiliza MikroTik RouterOS, este episodio es para usted. Le guiaré paso a paso sobre cómo integrar el Hotspot Gateway de MikroTik con la plataforma de WiFi para invitados de Purple, cubriendo tres casos de uso distintos: WiFi para invitados con un captive portal y walled garden, Staff WiFi seguro mediante 802.1X y segregación de redes multiinquilino utilizando la función de clave precompartida privada (Private PSK) de MikroTik. Esto no es una descripción teórica. Al final de este episodio, dispondrá de los comandos de CLI específicos, los atributos RADIUS y la lógica de configuración que necesita para implementar o auditar estas configuraciones usted mismo. Comencemos. [TECHNICAL DEEP-DIVE - aproximadamente 5 minutos] Parte uno: WiFi para invitados y el captive portal de MikroTik. El Hotspot Gateway de MikroTik es el motor que gestiona la redirección del WiFi para invitados en RouterOS. Cuando un visitante se conecta a su SSID de invitados, el Hotspot Gateway intercepta su tráfico HTTP y lo redirige a una página de inicio (splash page); ese es su captive portal. Purple aloja esa página de inicio. Su router MikroTik actúa como Hotspot Gateway y cliente RADIUS. La plataforma de Purple actúa como servidor RADIUS. Así es como se configura. Primero, ejecute el asistente de configuración de Hotspot (Hotspot Setup) desde el menú IP en Winbox o a través de la CLI. Lo asignará a su interfaz orientada a los invitados, normalmente una interfaz VLAN o un puerto de bridge. Establezca su grupo de direcciones locales, configure sus servidores DNS y asigne un nombre DNS al hotspot. Ese nombre DNS es lo que los invitados verán en su navegador antes de autenticarse. Una vez completado el asistente, debe apuntar el perfil del hotspot al servidor RADIUS de Purple. En la CLI, se ve así: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 A continuación, habilite RADIUS en el perfil del hotspot: /ip hotspot profile set default use-radius=yes Purple le proporcionará la dirección IP de RADIUS, el secreto compartido y la URL de la página de inicio cuando configure su establecimiento en el panel de control de Purple. Ahora, el walled garden. Esto es fundamental. Antes de que un invitado se autentique, su dispositivo debe poder acceder a la página de inicio de Purple y a cualquier proveedor de OAuth que esté utilizando (Google, Facebook, etc.). Sin las entradas del walled garden, el bucle de redirección se rompe y los invitados no pueden iniciar sesión. En RouterOS, se añaden las entradas del walled garden en IP, Hotspot, Walled Garden. Debe añadir el dominio de la página de inicio de Purple, los dominios de inicio de sesión social y los hosts de CDN que sirven los recursos de la página de inicio de sesión. La documentación de Purple detalla los dominios exactos para su región. Añádalos como entradas de IP o de nombres de host; estas últimas son más resistentes cuando cambian las direcciones IP. Los atributos RADIUS clave que devuelve Purple tras una autenticación correcta incluyen el tiempo de espera de la sesión (session timeout), que controla cuánto tiempo permanece conectado un invitado antes de que se le vuelva a solicitar que inicie sesión, y opcionalmente un límite de ancho de banda utilizando el atributo específico del fabricante Mikrotik-Rate-Limit. Esto le permite aplicar políticas de uso justo por sesión de invitado directamente desde el panel de control de Purple sin tocar la configuración del router. Parte dos: Staff WiFi seguro con 802.1X. Aquí es donde se eliminan por completo las contraseñas compartidas. IEEE 802.1X es el estándar para el control de acceso a la red basado en puertos. En una interfaz inalámbrica de MikroTik, se habilita la autenticación WPA2-Enterprise o WPA3-Enterprise, lo que significa que el punto de acceso se convierte en un autenticador: pasa las credenciales EAP del dispositivo del empleado a un servidor RADIUS, que las valida y devuelve un Access-Accept o Access-Reject. El producto Staff WiFi de Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Cuando el dispositivo de un empleado se conecta, presenta un certificado o un nombre de usuario y contraseña a través de PEAP-MSCHAPv2. El servidor RADIUS de Purple valida esa credencial con su proveedor de identidad en tiempo real. En el lado de MikroTik, se configura el perfil de seguridad inalámbrica con authentication-types establecido en wpa2-eap, y se apunta el cliente RADIUS al servidor de Purple con service=wireless. En CAPsMAN (el sistema de gestión centralizada de puntos de acceso de MikroTik), esto se configura a nivel de seguridad para que se aplique de manera coherente en todos los puntos de acceso gestionados. El servidor RADIUS puede devolver el atributo Mikrotik-Wireless-VLANID para colocar al personal autenticado en una VLAN específica. Así es como se aplica la segmentación de red: el personal de finanzas va a la VLAN 10, el de operaciones a la VLAN 20, etc., todo desde un único SSID y basado en la identidad. Para la revocación automática (cuando un empleado deja la empresa), la integración de Purple con su proveedor de identidad permite que, al desactivar la cuenta en Entra ID o Okta, el siguiente intento de autenticación falle y el dispositivo se desconecte. Sin necesidad de realizar cambios manuales en la configuración del router. Parte tres: WiFi multiinquilino con claves precompartidas privadas (Private PSK). Este es el caso más interesante desde el punto de vista arquitectónico. La PSK privada (a veces llamada PPSK o iPSK) le permite ejecutar un único SSID donde cada inquilino, residente o grupo de dispositivos se conecta con una contraseña única, y cada contraseña se asocia a una VLAN diferente. En MikroTik, esto funciona mediante la autenticación RADIUS basada en MAC en la interfaz inalámbrica. Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo al servidor RADIUS como nombre de usuario. El servidor RADIUS (ya sea el propio User Manager de MikroTik en RouterOS 7 o FreeRADIUS) busca esa dirección MAC y devuelve dos atributos específicos del fabricante: Mikrotik-Wireless-Psk, que es la contraseña por dispositivo, y Mikrotik-Wireless-VLANID, que coloca al dispositivo en la VLAN correcta. El perfil de seguridad inalámbrica necesita tener radius-mac-authentication establecido en yes, y el cliente RADIUS necesita service=wireless. En la práctica, para una propiedad de alquiler residencial con 200 apartamentos, registraría previamente las direcciones MAC de los dispositivos de cada residente en la plataforma de Purple cuando se muden. Purple asocia cada MAC a una PSK única y a una VLAN correspondiente al segmento de red de ese apartamento. El residente se conecta utilizando la contraseña de su apartamento. Sus dispositivos acceden a una VLAN aislada. Los dispositivos de su vecino están en una VLAN completamente separada. Ninguno puede ver el tráfico del otro. Para los dispositivos que no admiten 802.1X (smart TV, videoconsolas, dispositivos IoT), este enfoque es la alternativa práctica. El dispositivo solo necesita admitir WPA2-PSK, algo que hacen todos. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - approximately 2 minutes] Permítame detallar las cuatro cosas que suelen fallar con más frecuencia en estas implementaciones. Primero: fallos en el walled garden. Si la página de inicio de Purple no se carga, revise las entradas del walled garden. El culpable más común suele ser un dominio de CDN ausente o una redirección de inicio de sesión social que no está en la lista blanca. Utilice la herramienta torch de MikroTik o el analizador de paquetes (packet sniffer) para observar qué consultas DNS se están bloqueando antes de la autenticación. Segundo: discrepancias en el tiempo de espera (timeout) de RADIUS. El tiempo de espera predeterminado de RADIUS en MikroTik es de 1100 milisegundos. Si el servidor RADIUS de Purple está geográficamente distante o la ruta de red presenta latencia, experimentará fallos de autenticación intermitentes. Aumente el tiempo de espera a 3000 milisegundos y configure un servidor RADIUS de respaldo para mayor resiliencia. Tercero: filtrado de VLAN no habilitado en el bridge. La asignación dinámica de VLAN a través de RADIUS solo funciona si el filtrado de VLAN del bridge está habilitado. Este es un requisito de RouterOS. Si observa que todos los clientes acceden a la VLAN predeterminada independientemente de lo que devuelva RADIUS, compruebe que vlan-filtering=yes esté configurado en su interfaz de bridge. Cuarto: discrepancia de versiones de CAPsMAN. Si utiliza una combinación de puntos de acceso gestionados con CAPsMAN versión 2 y versión 3, el comportamiento del etiquetado de VLAN puede diferir. Estandarice en RouterOS 7 con CAPsMAN versión 3 en todo su parque de puntos de acceso antes de implementar funciones de VLAN dinámicas. Una recomendación arquitectónica: separe el tráfico de invitados, de personal y de gestión en VLAN distintas desde el primer día, incluso si no va a utilizar los tres casos de uso de Purple de inmediato. Adaptar la segmentación de VLAN a una red plana a posteriori es significativamente más complejo que diseñarla así desde el principio. [RAPID-FIRE Q AND A - approximately 1 minute] ¿Puedo utilizar el User Manager integrado de MikroTik en lugar de un servidor RADIUS externo? Sí, para implementaciones más pequeñas. User Manager en RouterOS 7 admite PEAP-MSCHAPv2 para 802.1X inalámbrico y puede devolver el atributo Mikrotik-Wireless-VLANID. Para implementaciones de producción con Purple, utilizará la infraestructura RADIUS alojada de Purple, que se encarga de la integración con el proveedor de identidad y de la gestión de sesiones por usted. ¿Admite Purple MikroTik CAPsMAN? Sí. Purple es independiente del hardware. La integración funciona a nivel de RADIUS y de redirección de hotspot, por lo que es compatible tanto con puntos de acceso MikroTik independientes como con implementaciones gestionadas por CAPsMAN. ¿Qué versión de RouterOS necesito? Se recomienda RouterOS 7.x para los tres casos de uso tratados en esta guía. La asignación dinámica de VLAN a través de RADIUS inalámbrico y el User Manager actualizado son funciones de RouterOS 7. RouterOS 6.x admite hotspot y autenticación RADIUS básica, pero carece de algunas de las capacidades de VLAN inalámbricas. [SUMMARY AND NEXT STEPS - approximately 1 minute] En resumen: MikroTik RouterOS le ofrece tres puntos de integración distintos con Purple. El Hotspot Gateway gestiona la redirección del WiFi para invitados y la autenticación del captive portal. La configuración inalámbrica 802.1X con RADIUS gestiona el Staff WiFi seguro con acceso basado en la identidad. Y la autenticación RADIUS basada en MAC con PSK privada gestiona la segregación de redes multiinquilino para propiedades residenciales y de uso mixto. El elemento común en los tres casos es RADIUS. Configure correctamente su cliente RADIUS (IP correcta, secreto compartido correcto, tipo de servicio correcto, tiempo de espera correcto) y el resto funcionará de forma fluida. Sus siguientes pasos: inicie sesión en su panel de control de Purple, vaya a la configuración del establecimiento y obtenga sus credenciales de RADIUS. A continuación, siga los comandos de CLI de la guía escrita para configurar su perfil de hotspot, su perfil de seguridad inalámbrica y sus entradas de walled garden. Realice pruebas con un único punto de acceso antes de implementarlo en toda su infraestructura. Si va a implementar esto a gran escala (múltiples sedes, cientos de puntos de acceso), el equipo de Servicios Profesionales de Purple puede ayudarle en el despliegue. Purple opera en más de 80 000 establecimientos activos en todo el mundo, con un tiempo de actividad del 99,999 %, y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Gracias por escucharnos. La guía escrita completa con todos los comandos de CLI, tablas de atributos RADIUS y ejemplos prácticos está enlazada en las notas del programa.