Integración de WatchGuard Firebox con Purple WiFi: Guía de configuración y diseño

Esta guía es un manual de integración paso a paso para directores de TI y arquitectos de red que despliegan WatchGuard Firebox y puntos de acceso con Purple. Cubre la redirección de Captive Portal externa para WiFi de invitados, la autenticación segura 802.1X para el WiFi de empleados y la segmentación multitenant mediante las claves precompartidas privadas (PPSK) de WatchGuard con enrutamiento de VLAN dinámico, lo que le proporciona una arquitectura única y unificada en todos los niveles de acceso.

📖 8 min de lectura📝 1,854 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

Bienvenido al informe de integración. Hoy analizaremos la integración de WatchGuard Firebox y Access Point con Purple WiFi. Se trata de un manual técnico para directores de TI, arquitectos de red y directores de operaciones de recintos que necesitan desplegar una infraestructura inalámbrica segura y escalable. Veremos los Captive Portals de Guest WiFi, el Staff WiFi seguro mediante 802.1X y la segmentación Multi-Tenant mediante claves privadas previamente compartidas de WatchGuard, o PPSK. Entremos directamente en el contexto.

Cuando se gestiona un recinto complejo, como un estadio, un gran centro comercial o una comunidad de vecinos, se necesita un control preciso sobre quién accede a la red y qué puede hacer una vez conectado. También es necesario capturar datos de origen para impulsar los ingresos de marketing. WatchGuard proporciona la plataforma de seguridad unificada y el hardware. Purple proporciona la capa en la nube, la gestión de identidades y la analítica. Al integrar ambos, se automatiza el control de acceso basado en la identidad. Se elimina la necesidad de pasarelas independientes para invitados y empleados, lo que reduce el gasto en hardware y simplifica la gestión. Actualmente, Purple presta servicio a más de 80.000 recintos en activo y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está diseñada para soportar la escala de cualquier recinto que deba gestionar.

Pasemos al análisis técnico detallado. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Disponemos de tres niveles de acceso principales. En primer lugar, Guest WiFi. Se trata de un SSID abierto. El AP de WatchGuard intercepta las peticiones HTTP y redirige al usuario a la página de bienvenida alojada por Purple. En segundo lugar, Staff WiFi. Se trata de un SSID seguro WPA3-Enterprise que utiliza 802.1X. Los dispositivos se autentican directamente contra los servidores RADIUS de Purple mediante EAP-TLS o PEAP. En tercer lugar, Multi-Tenant WiFi. Utiliza WatchGuard PPSK. Varios usuarios se conectan a un único SSID, pero cada uno utiliza una contraseña única. El AP de WatchGuard realiza una consulta al servidor RADIUS de Purple, que a continuación asigna dinámicamente una VLAN basada en esa clave específica.

Por lo tanto, ¿cómo configuramos el Captive Portal de Guest WiFi? El primer paso es configurar el servidor RADIUS en WatchGuard Cloud o en el Firebox Policy Manager. Se apunta el servidor RADIUS primario a la dirección IP de Purple correspondiente a su región. La autenticación se realiza en el puerto 1812 y la contabilidad en el puerto 1813. Introduzca el secreto compartido proporcionado por Purple y, fundamentalmente, asegúrese de que el NAS ID coincide con la dirección MAC del Firebox o AP. Esto indica a Purple de qué recinto procede la solicitud.

El segundo paso es la redirección del propio Captive Portal. En la configuración del SSID, seleccione Captive Portal alojado por terceros con autenticación RADIUS. Introduzca la URL de la página de bienvenida de Purple e introduzca el secreto compartido del portal. Se trata de un secreto específico generado en el panel de control de Purple Analyze, y se utiliza para crear un resumen HMAC para validar las solicitudes de autenticación. El algoritmo HMAC-SHA1 garantiza que el mensaje de éxito de autenticación de Purple sea genuino y no haya sido manipulado en tránsito.
El tercer paso, y aquí es donde fallan muchas implementaciones, es el Walled Garden. Si no configura esto, el dispositivo no podrá cargar la página de inicio (splash page). Debe permitir el acceso a star punto mypurple punto com, api punto mypurple punto com y cdn punto mypurple punto com antes del inicio de sesión. Si utiliza inicios de sesión social como Microsoft Entra ID o Google Workspace, también debe añadir los dominios de esos proveedores de identidad. Piense en el Walled Garden como la zona de espera de preautenticación. Sin ella, el invitado ni siquiera puede llegar a la puerta de entrada.

Ahora, analicemos la segmentación Multi-Tenant con WatchGuard PPSK. Si gestiona un centro comercial con 15 tiendas, emitir 15 SSIDs diferentes es una estrategia deficiente. Provoca interferencias en el mismo canal, satura el espacio radioeléctrico y genera una sobrecarga de gestión. PPSK resuelve esto de forma elegante. Usted emite un único SSID, por ejemplo, Centre-Retail. Habilita la Clave Precompartida Privada (PPSK) en la configuración de SSID de WatchGuard, lo que requiere la versión de firmware 2.6 o superior en sus puntos de acceso de WatchGuard. En Purple, crea claves únicas, una por cliente (tenant).

Para aislar el tráfico, se utiliza la Asignación Dinámica de VLAN. En WatchGuard Cloud, configure la VLAN como VLAN Dinámica asignada por RADIUS. Cuando una tienda conecta un dispositivo utilizando su clave específica, el punto de acceso envía un Access-Request al servidor RADIUS de Purple. Purple valida la clave y devuelve un paquete Access-Accept con tres atributos RADIUS IETF vitales: Tunnel-Type (atributo 64) establecido en VLAN; Tunnel-Medium-Type (atributo 65) establecido en 802; y Tunnel-Private-Group-ID (atributo 81) establecido en el ID de VLAN asignado, por ejemplo, VLAN 100 para el Retail Tenant A. El punto de acceso de WatchGuard coloca entonces ese dispositivo en la VLAN 100, completamente aislado de los demás inquilinos. Esto es Redes Basadas en la Identidad en la práctica.

Hablemos de recomendaciones de implementación y errores comunes. Primero, los tiempos de espera de sesión (session timeouts). Configure tiempos de espera de sesión estrictos tanto en Purple como en WatchGuard para forzar la reautenticación. Esto mantiene la precisión de sus análisis y garantiza que las sesiones inactivas no consuman ancho de banda. Establezca los intervalos de RADIUS Interim-Update en 10 minutos. Segundo, el firmware. Debe asegurarse de que sus puntos de acceso de WatchGuard ejecuten la versión de firmware 2.6 o superior para admitir PPSK. Las versiones de firmware anteriores no son compatibles con esta función. Tercero, la aleatorización de direcciones MAC. Los dispositivos modernos aleatorizan sus direcciones MAC por defecto. Para su red WiFi segura de empleados, indique a su personal que desactive esta función para ese SSID específico para garantizar una autenticación 802.1X estable. La aleatorización de MAC puede provocar fallos de autenticación y datos analíticos incoherentes.

What happens when things go wrong? If the captive portal fails to load, check the Walled Garden first. If the device cannot resolve DNS or reach the Purple servers, it will show a timeout error rather than the splash page. If VLAN steering fails and the client receives an IP from the wrong VLAN, check the RADIUS logs in the Purple portal. Ensure the Tunnel-Private-Group-ID attribute is formatted correctly as a string and matches a VLAN that actually exists on the switch port connected to the AP. If you see HMAC digest errors in the WatchGuard logs, your Captive Portal Shared Secret does not match between WatchGuard and Purple. It must be identical in both systems, character for character.

Time for a rapid-fire Q&A. Question: Can I use PPSK and the Captive Portal on the same SSID? Answer: No. WatchGuard does not support running Dynamic VLANs via PPSK and a Captive Portal on the same SSID simultaneously. You need one SSID for the portal and a separate SSID for PPSK. Plan your SSID architecture accordingly. Question: What happens if the RADIUS server does not return a VLAN ID for a PPSK user? Answer: In WatchGuard Cloud, you configure an Unassigned Clients fallback option. You can drop them onto an untagged VLAN or a specific isolated quarantine VLAN to ensure they do not gain access to the corporate network. Always configure this fallback to avoid accidental access.

To summarise, integrating WatchGuard Firebox with Purple gives you a unified platform for security, identity, and analytics across Guest, Staff, and Multi-Tenant networks. You use external captive portal redirection for guests, 802.1X for staff, and PPSK with dynamic VLANs for multi-tenant environments. The ROI is clear. You reduce hardware costs by consolidating gateways, you simplify management through a single cloud platform, and you drive revenue by capturing first-party data through the Purple captive portal. Your next steps are to review your current SSID architecture, ensure your WatchGuard firmware is at version 2.6 or higher, and begin configuring your RADIUS settings in the Purple portal. Thank you for listening.

Conclusiones clave

✓WatchGuard Firebox se integra con Purple mediante RADIUS estándar (puertos 1812/1813) y redirección a Captive Portal HTTP, admitiendo WiFi para invitados, WiFi para empleados y WiFi multiinquilino desde una única flota de AP.
✓El Captive Portal de WiFi para invitados requiere una URL de Splash Page, un Secreto Compartido (para la validación HMAC-SHA1) y entradas de Walled Garden para los dominios de Purple; la omisión de cualquiera de estos elementos hará que el portal falle.
✓El WiFi para empleados utiliza IEEE 802.1X (EAP-TLS o PEAP) con Purple como servidor RADIUS, que puede actuar como proxy de autenticación para Microsoft Entra ID, Okta o Google Workspace para la gestión del ciclo de vida de la identidad.
✓WatchGuard PPSK (firmware v2.6 o posterior) permite la segmentación multiinquilino en un único SSID: cada inquilino recibe una clave única y el servidor RADIUS de Purple devuelve atributos de VLAN (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) para aislar su tráfico.
✓La redirección dinámica de VLAN y el Captive Portal no pueden ejecutarse en el mismo SSID en WatchGuard; planifique su arquitectura de SSID con SSIDs independientes para el portal de invitados y el acceso multiinquilino PPSK.
✓Configure siempre una VLAN de cuarentena de reserva para los clientes PPSK no asignados para evitar que los dispositivos que fallen la validación RADIUS acaben en la VLAN de gestión.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, y mantiene un tiempo de actividad del 99,999 %; la plataforma se encarga de los requisitos de cumplimiento y disponibilidad para despliegues en recintos empresariales.

Resumen ejecutivo

El despliegue de una infraestructura inalámbrica segura y escalable en entornos complejos requiere una integración precisa entre su pasarela de seguridad y su proveedor de identidad. Esta guía detalla la integración de WatchGuard Firebox y los puntos de acceso WatchGuard con Purple, abarcando tres niveles de acceso diferenciados: redirección de portal cautivo para Guest WiFi , Secure Staff WiFi mediante IEEE 802.1X y segmentación de Multi-Tenant WiFi a través de claves privadas precompartidas (PPSK) de WatchGuard.

Al combinar la plataforma de seguridad unificada de WatchGuard con la capa en la nube de Purple, automatiza el control de acceso basado en la identidad, aplica políticas de seguridad granulares y recopila datos de primera mano a escala. Purple opera en más de 80.000 centros activos y procesó 440 millones de inicios de sesión en 2024 (datos internos de Purple). La integración es independiente del hardware por diseño: WatchGuard convive con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet en la lista de hardware compatible de Purple. Para obtener una visión más amplia de los estándares de seguridad de Wi-Fi empresarial, consulte nuestra Enterprise WiFi Security: A Complete Guide for 2026 .

Arquitectura técnica

La integración conecta el hardware de WatchGuard con los servicios en la nube de Purple mediante dos mecanismos estándar: RADIUS (Remote Authentication Dial-In User Service) para la autenticación y contabilidad, y redirección HTTP para la entrega del portal cautivo. La arquitectura admite tres niveles de acceso sobre una única infraestructura física.

Nivel de acceso	Tipo de SSID	Método de autenticación	Rol de Purple
Guest WiFi	Abierto	Portal cautivo externo + contabilidad RADIUS	Splash page, captura de datos, analíticas
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS o PEAP)	Servidor RADIUS, proxy de proveedor de identidad
Multi-Tenant WiFi	WPA2/WPA3 Personal + PPSK	PPSK validada mediante RADIUS	Gestión de claves, asignación dinámica de VLAN

Los tres niveles pueden ejecutarse simultáneamente en la misma flota de puntos de acceso de WatchGuard. Los modelos Wi-Fi 6 de WatchGuard (AP130, AP230W, AP330, AP332CR, AP430CR y AP432) admiten PPSK a partir de la versión de firmware v2.6.

Configuración de la redirección del portal cautivo de Guest WiFi

La integración del portal cautivo de WatchGuard redirige las solicitudes HTTP no autenticadas a la splash page alojada de Purple. Este es el mecanismo principal para capturar datos de primera mano y aplicar las condiciones del servicio.

Paso 1: Configuración del servidor RADIUS

En WatchGuard Cloud o Firebox Policy Manager, defina a Purple como el servidor de autenticación y contabilidad RADIUS.

Primary RADIUS server: setee la dirección IP de RADIUS de Purple para su región (disponible en el portal de Purple en Configuración > Integración de hardware).
Authentication port: 1812
Accounting port: 1813
Shared secret: introduzca el secreto único proporcionado en el portal de Purple.
NAS ID: configure este campo con la dirección MAC del Firebox o AP utilizando el especificador de formato %m. Esto identifica el establecimiento para Purple y dirige las analíticas a la cuenta correcta.
Accounting interval: configúrelo en 10 minutos para garantizar que los datos de la sesión fluyan al panel de analíticas de Purple a intervalos regulares.

Paso 2: Configuración del SSID y del Captive Portal

En WatchGuard Cloud, navegue a Configurar > Dispositivos > [Su AP] > Configuración del dispositivo > SSIDs. Cree o edite el SSID de invitados.

Seguridad: Abierta (sin contraseña de autenticación previa).
Tipo de captive portal: seleccione Captive Portal alojado por terceros con autenticación RADIUS.
Splash Page URL: introduzca la URL de la página de inicio de Purple (por ejemplo, https://wifi.mypurple.com/splash). Obténgala en Purple > Analizar > Portales.
Shared secret: introduzca el secreto compartido del portal de la misma página de Portales de análisis de Purple. Este secreto genera el código HMAC-SHA1 que WatchGuard utiliza para validar la respuesta de autenticación correcta de Purple.

Paso 3: Configuración del Walled Garden

El Walled Garden define a qué dominios puede acceder un dispositivo antes de que se complete la autenticación. Sin esto, el dispositivo no podrá cargar la página de inicio de Purple. Añada las siguientes entradas en Sitios web a los que los usuarios pueden acceder antes de iniciar sesión:

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

Si habilita inicios de sesión sociales o federados a través de Microsoft Entra ID, Okta o Google Workspace, añada los dominios de los proveedores de identidad pertinentes (por ejemplo, login.microsoftonline.com, accounts.google.com). Para obtener contexto legal y normativo sobre la infraestructura de WiFi compartida, consulte nuestra guía sobre Requisitos legales y de cumplimiento para la infraestructura de WiFi compartida .

Cómo funciona el flujo de autenticación HMAC

Comprender este flujo le ayudará a diagnosticar fallos rápidamente.

El dispositivo del invitado se conecta al SSID abierto y realiza una solicitud HTTP.
El AP de WatchGuard intercepta la solicitud y redirige el navegador a la URL de la página de inicio de Purple, adjuntando un parámetro challenge (una cadena hexadecimal aleatoria) y la dirección MAC del dispositivo.
Purple muestra la página de inicio. El invitado completa el formulario de inicio de sesión.
Purple genera un código HMAC-SHA1 utilizando el secreto compartido del portal y el valor del challenge.
Purple redirige el navegador de vuelta a la URL de inicio de sesión del AP de WatchGuard, adjuntando el challenge y el código.
El AP de WatchGuard valida el código utilizando el mismo secreto compartido. Si coincide, el AP concede acceso a internet y envía un paquete RADIUS Accounting Start a Purple.

WiFi seguro para el personal con 802.1X

Para el WiFi del personal (Staff WiFi), se sustituye el Captive Portal por IEEE 802.1X, el estándar empresarial para el control de acceso a redes basado en puertos. Cada miembro del personal se autentica con credenciales únicas o un certificado, lo que elimina el riesgo de las contraseñas compartidas.

En WatchGuard Cloud, configure el SSID del personal con seguridad WPA3 Enterprise y dirija el Dominio de autenticación al servidor RADIUS de Purple. Purple actúa como servidor RADIUS y puede realizar un proxy de las solicitudes de autenticación a Microsoft Entra ID, Okta o Google Workspace a través de SAML o LDAP.

Para la autenticación basada en certificados (EAP-TLS), distribuya los certificados de cliente a través de su MDM a los dispositivos gestionados. Para la autenticación basada en credenciales (PEAP-MSCHAPv2), los usuarios se autentican con sus credenciales de directorio. Purple valida la solicitud frente al proveedor de identidad configurado y devuelve un RADIUS Access-Accept o Access-Reject al AP de WatchGuard.

Para obtener una guía detallada paso a paso sobre la configuración de 802.1X en diferentes tipos de dispositivos, consulte nuestra guía sobre Autenticación 802.1X: protección del acceso a la red en dispositivos modernos .

Nota importante sobre la aleatorización de direcciones MAC: Los dispositivos modernos con iOS y Android aleatorizan sus direcciones MAC por defecto. Para el WiFi del personal con 802.1X, indique al personal que desactive la aleatorización de MAC para el SSID del personal. Las MAC aleatorias provocan registros de autenticación inconsistentes y anulan la aplicación de políticas basadas en MAC.

WiFi multiinquilino con WatchGuard PPSK

Transmitir un SSID independiente por cada inquilino en un centro comercial, espacio de coworking o promoción inmobiliaria Build-to-Rent (BTR) provoca interferencias en el mismo canal y satura el entorno de radiofrecuencia (RF). WatchGuard PPSK (Private Pre-Shared Key), introducido en el firmware de AP v2.6, resuelve este problema asignando una contraseña única a cada usuario o inquilino en un único SSID.

Paso 1: Habilitar PPSK en el SSID

En WatchGuard Cloud, edite el SSID de destino (por ejemplo, Venue-WiFi).

Seguridad: WPA2 Personal o WPA3 Personal.
Autenticación: Habilite Private Pre-Shared Key (PPSK).
Servidor RADIUS: Diríjalo al servidor RADIUS de Purple. Purple gestiona el almacén de credenciales PPSK y devuelve los atributos de VLAN tras la autenticación.

Paso 2: Configurar la asignación dinámica de VLAN

Para aislar el tráfico de los inquilinos, el AP de WatchGuard asigna una VLAN específica en función de la PPSK utilizada.

Configuración de VLAN: Seleccione VLAN dinámica asignada por RADIUS.
Alternativa para clientes no asignados: Seleccione una VLAN de cuarentena aislada (por ejemplo, VLAN 999) para garantizar que los dispositivos que no superen la validación de RADIUS no puedan acceder a la red corporativa.

Requisitos para VLAN dinámicas en puntos de acceso WatchGuard:

Firmware del AP v2.2 o superior.
El NAT debe estar desactivado en el SSID.
Las VLAN dinámicas y el Captive Portal no pueden ejecutarse en el mismo SSID simultáneamente.
El puerto del switch conectado al AP debe estar configurado como un puerto troncal (trunk) que transporte todas las VLAN relevantes.

Paso 3: Atributos RADIUS para direccionamiento de VLAN

Cuando un usuario se conecta utilizando una PPSK, el AP de WatchGuard envía una solicitud RADIUS Access-Request a Purple. Purple valida la clave y devuelve un paquete Access-Accept que contiene tres atributos RADIUS de la IETF:

Atributo RADIUS	Número de Atributo	Valor
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	VLAN ID (p. ej., "100")

El AP de WatchGuard lee el atributo 81 y ubica al cliente en la VLAN correspondiente. En Purple, usted asocia cada credencial PPSK a un ID de VLAN y rol específicos. Este es el mecanismo detrás de las Redes Basadas en la Identidad: la credencial determina el segmento de red, no el SSID.

Prácticas recomendadas de implementación

Estas recomendaciones se aplican a despliegues en hostelería , retail , sanidad y transporte .

Tiempos de espera de sesión (Session timeouts): Configure los tiempos de espera de sesión tanto en Purple como en WatchGuard para forzar la reautenticación a intervalos regulares. Esto mantiene la precisión de los análisis y evita que las sesiones inactivas consuman ancho de banda. Establezca el RADIUS Interim-Update (Acct-Interim-Interval) en 600 segundos (10 minutos).

Gestión de firmware: Asegúrese de que los puntos de acceso de WatchGuard ejecuten la versión de firmware v2.6 o superior para admitir PPSK. Utilice WatchGuard Cloud para programar las actualizaciones de firmware durante las horas de menor actividad para evitar interrupciones en la cobertura.

Cumplimiento de PCI DSS: Para entornos de retail que procesan pagos con tarjeta, aísle los dispositivos TPV en una VLAN dedicada (p. ej., VLAN 200) mediante PPSK. Asegúrese de que la VLAN de la WiFi de invitados no tenga ruta hacia la VLAN de los TPV. Esto respalda los requisitos de segmentación de red de PCI DSS.

GDPR y recopilación de datos: El Captive Portal de Purple utiliza opciones de aceptación voluntaria y consciente, lo que garantiza que la recopilación de datos cumpla con los requisitos del GDPR. Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials. Asegúrese de que su página de inicio (splash page) incluya un aviso de privacidad claro y un enlace a las condiciones del servicio antes de que comience la captura de datos.

Resolución de problemas y mitigación de riesgos

El Captive Portal no se carga: El Walled Garden es el primer lugar que se debe comprobar. Si el dispositivo no puede resolver el DNS o comunicarse con los servidores de Purple antes de la autenticación, el navegador mostrará un error de tiempo de espera en lugar de la splash page. Verifique que todos los dominios de Purple estén en la lista del Walled Garden y que la configuración DNS de WatchGuard permita la resolución previa a la autenticación.

Errores de validación de firma HMAC: Si los registros de WatchGuard muestran fallos de autenticación con errores HMAC, el Secreto Compartido del Captive Portal no coincide entre WatchGuard y Purple. Debe ser idéntico en ambos sistemas. Vuelva a generar el secreto en Purple e introdúzcalo de nuevo en WatchGuard Cloud.

Fallo en la asignación de VLAN: si un usuario de PPSK recibe una IP de la VLAN incorrecta, consulte los registros de RADIUS en el portal de Purple. Verifique que Purple devuelva los tres atributos de RADIUS del IETF. Asegúrese de que el valor Tunnel-Private-Group-ID esté formateado como una cadena y coincida con un ID de VLAN configurado en el puerto trunk del switch.

Conflicto entre PPSK y el Captive Portal: WatchGuard no admite VLAN dinámicas y Captive Portal en el mismo SSID. Si necesita ambos, utilice dos SSIDs: uno para el Captive Portal de invitados y otro para el acceso multiinquilino de PPSK.

Fallos de autenticación 802.1X: utilice la herramienta de captura de paquetes disponible en el firmware de AP de WatchGuard v2.5 y versiones superiores para capturar el tráfico entre el AP y el servidor RADIUS. Busque paquetes RADIUS Access-Reject y el código de motivo en el atributo del mensaje de respuesta.

ROI e impacto empresarial

La integración de WatchGuard y Purple consolida la seguridad y la analítica en una única arquitectura. Un hotel de 200 habitaciones que utiliza esta integración elimina la necesidad de pasarelas de enlace independientes para invitados y personal, lo que reduce el gasto en hardware aproximadamente un 30% en comparación con un despliegue de múltiples pasarelas (datos internos de Purple). El Captive Portal de Guest WiFi captura datos de origen (direcciones de correo electrónico, información demográfica y frecuencia de visitas) que impulsan los ingresos de marketing directo a través del plan Engage de Purple.

Para espacios multiinquilino, PPSK elimina la sobrecarga operativa de gestionar múltiples SSIDs. Un centro comercial que gestiona 15 locales comerciales en un único SSID reduce la utilización de la radio del AP y simplifica las auditorías de red. WiFi Analytics de Purple proporciona a los operadores de los espacios datos de tiempo de permanencia, afluencia y visitas repetidas, métricas que justifican la inversión en infraestructura ante los equipos financieros.

Purple mantiene un tiempo de actividad del 99,999% (datos internos de Purple), lo que garantiza que el Captive Portal de Guest WiFi permanezca disponible incluso durante los periodos de mayor actividad en espacios de alta densidad como estadios y centros de conferencias.

Definiciones clave

PPSK (Private Pre-Shared Key)

Función de seguridad que asigna una contraseña única a cada usuario o dispositivo en un SSID personal WPA2/WPA3. Introducida en el firmware de AP de WatchGuard v2.6.

Se utiliza en entornos multiinquilino (centros comerciales, espacios de coworking, promociones BTR) para segmentar a los usuarios sin necesidad de configurar un suplicante 802.1X en los dispositivos cliente.

Dynamic VLAN steering

El proceso de asignar un dispositivo de red a una LAN virtual específica en función de los atributos de RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) devueltos durante la autenticación.

El mecanismo que aísla el tráfico de inquilinos, personal y visitas en el mismo punto de acceso físico. Requiere firmware de AP v2.2 o superior en el hardware de WatchGuard.

Walled Garden

Lista de direcciones IP o dominios a los que un usuario no autenticado tiene permiso para acceder antes de completar la autenticación en el Captive Portal.

Necesario para permitir que los dispositivos de los invitados carguen la página de bienvenida de Purple y completen los inicios de sesión federados (Microsoft Entra ID, Google Workspace) antes de que se les conceda acceso total a Internet.

HMAC digest

Un hash criptográfico (HMAC-SHA1) utilizado para verificar la integridad y autenticidad del mensaje de autenticación correcta enviado desde el Captive Portal.

WatchGuard valida el código HMAC utilizando el secreto compartido del Captive Portal. Una discrepancia entre el secreto en WatchGuard y Purple provoca fallos de autenticación.

RADIUS accounting

El componente del protocolo RADIUS que realiza el seguimiento del uso de la red, incluido el inicio de la sesión, la duración de la misma y el volumen de transferencia de datos.

Purple se basa en los paquetes de RADIUS Accounting procedentes de WatchGuard Firebox para cumplimentar el panel de análisis y aplicar los límites de tiempo de sesión. Funciona en el puerto 1813.

Captive portal

Página web a la que se redirige un dispositivo antes de que se le conceda acceso a una red pública. WatchGuard intercepta las solicitudes HTTP y las redirige a la URL del portal externo configurada.

El mecanismo principal para capturar datos de origen y hacer cumplir las condiciones de servicio en las redes de WiFi para invitados. Purple aloja la página de bienvenida y gestiona los datos.

802.1X

Estándar IEEE para el control de acceso a redes basado en puertos. Requiere que cada dispositivo se autentique con credenciales únicas o un certificado antes de que se le conceda acceso a la red.

El estándar empresarial para proteger la red WiFi del personal. Elimina el riesgo de contraseña compartida de WPA2 Personal. Requiere un servidor RADIUS (Purple) y un suplicante en el dispositivo cliente.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Método de autenticación 802.1X muy seguro que requiere tanto un certificado de cliente como un certificado de servidor para la autenticación mutua.

Se utiliza en entornos de alta seguridad en los que los dispositivos se gestionan mediante un MDM. Garantiza que solo los dispositivos propiedad de la empresa con certificados válidos puedan conectarse al SSID de la WiFi del personal.

NAS ID (Network Access Server Identifier)

Cadena enviada en paquetes RADIUS que identifica el dispositivo de red (AP o Firebox) que realiza la solicitud de autenticación.

Purple utiliza el NAS ID para identificar el centro de procedencia de una solicitud RADIUS. Suele establecerse con la dirección MAC del AP utilizando el especificador de formato %m en WatchGuard.

Identity-Based Networking

Arquitectura de red en la que las políticas de acceso, las asignaciones de VLAN y los controles de seguridad vienen determinados por la identidad del usuario y no por su puerto físico o SSID.

La combinación de PPSK de WatchGuard, RADIUS de Purple y la reorientación dinámica de VLAN ofrece Identity-Based Networking: la credencial determina el segmento de red de forma automática.

Ejemplos prácticos

¿Un hotel Premier Inn de 200 habitaciones necesita proporcionar WiFi de invitados para los huéspedes, un WiFi de empleados seguro para los equipos de recepción y administración, y una red independiente para dispositivos IoT (smart TV, cerraduras inteligentes). Tienen puntos de acceso WatchGuard AP330 gestionados a través de WatchGuard Cloud y una puerta de enlace Firebox T85. ¿Cómo deberían estructurar las tres redes?

Despliegue tres SSID en la flota de WatchGuard AP330. SSID 1: "Premier-Guest": SSID abierto con redirección de Captive Portal externa a Purple. Configure el Firebox T85 como cliente RADIUS apuntando a los servidores de Purple (puertos 1812/1813). Añada los dominios del Walled Garden de Purple. Los invitados se autentican a través de la página de inicio de Purple mediante correo electrónico, inicio de sesión social o un código de habitación. SSID 2: "Premier-Staff": SSID WPA3-Enterprise con autenticación 802.1X. Apunte el dominio de autenticación al servidor RADIUS de Purple, que actúa como proxy de las credenciales hacia el tenant de Microsoft Entra ID del establecimiento. Los empleados se autentican con sus credenciales corporativas. SSID 3: "Premier-IoT": SSID WPA2 Personal con una PSK estática, ubicada en una VLAN dedicada (por ejemplo, VLAN 50) con reglas de firewall que bloqueen el acceso a las VLAN de empleados e invitados. El Firebox T85 aplica las políticas de enrutamiento inter-VLAN. Los tres SSID se transmiten en el mismo hardware de AP, lo que reduce los costes de infraestructura.

Comentario del examinador: Esta arquitectura sigue el principio de mínimo privilegio. Cada nivel de acceso tiene el acceso a la red mínimo requerido para su función. El SSID de IoT utiliza una PSK estática en lugar de PPSK porque los dispositivos IoT no suelen admitir la rotación dinámica de credenciales. La decisión clave es utilizar Purple como servidor RADIUS tanto para el nivel de invitados como para el de empleados, lo que centraliza la gestión de identidad y las analíticas en una única plataforma.

Un centro comercial que gestiona 12 locales comerciales quiere proporcionar a cada inquilino acceso WiFi aislado utilizando un único SSID. El centro también necesita garantizar que una credencial de inquilino comprometida no exponga el tráfico de los demás inquilinos. Tienen puntos de acceso WatchGuard AP230W con firmware v2.6.

Configure un único SSID: "Centre-Retail" con WPA2 Personal y PPSK habilitado. En Purple, cree 12 credenciales PPSK únicas, una por inquilino. Asocie cada credencial a una VLAN dedicada (por ejemplo, VLAN 101 para el Inquilino 1, VLAN 102 para el Inquilino 2, etc.). En WatchGuard Cloud, configure la VLAN del SSID como "VLAN dinámica asignada por RADIUS" con una VLAN de cuarentena de reserva (VLAN 999). Configure los puertos del switch conectados al AP230W como puertos troncales que transporten las VLAN 101-112 y 999. Cuando el dispositivo de un inquilino se conecta utilizando su PPSK, el AP consulta al RADIUS de Purple, recibe el atributo Tunnel-Private-Group-ID y ubica al dispositivo en la VLAN correcta. Una credencial comprometida para el Inquilino 3 solo expone la VLAN 103: todos los demás inquilinos permanecen aislados.

Comentario del examinador: PPSK proporciona aislamiento por credencial sin la complejidad de la gestión de certificados 802.1X. La decisión de diseño crítica es la VLAN de reserva. Sin una VLAN de cuarentena configurada, un dispositivo que falle en la validación RADIUS podría ubicarse en la VLAN no etiquetada predeterminada, obteniendo potencialmente acceso a la infraestructura de gestión. Configure siempre la reserva de forma explícita.

Preguntas de práctica

Q1. Un responsable de TI de un hotel informa de que los huéspedes se conectan al WiFi pero la splash page de Purple nunca aparece. El navegador muestra un error de tiempo de espera de conexión agotado. La configuración de WatchGuard Cloud muestra la URL de la splash page de Purple y el secreto compartido correctos. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considera qué debe ocurrir antes de que se autentique el dispositivo. ¿A qué dominios necesita acceder el dispositivo para cargar la página de inicio (splash page)?

Ver respuesta modelo

El Walled Garden no se ha configurado o está incompleto. El WatchGuard Firebox está bloqueando la solicitud HTTP inicial del dispositivo a los servidores de Purple antes de que se complete la autenticación. Añade los dominios de Purple requeridos a la lista de "Sitios web a los que los usuarios pueden acceder antes de iniciar sesión": *.mypurple.com, api.mypurple.com y cdn.mypurple.com. Si los huéspedes utilizan inicios de sesión sociales, añade también los dominios del proveedor de identidad correspondientes (por ejemplo, login.microsoftonline.com para Entra ID).

Q2. Estás configurando la dirección de VLAN basada en PPSK para un espacio de coworking con 8 miembros. La autenticación RADIUS se realiza correctamente (los registros de WatchGuard muestran Access-Accept), pero todos los dispositivos de los miembros reciben una dirección IP de la VLAN 1 (la VLAN de gestión predeterminada) en lugar de la VLAN asignada a su inquilino. ¿Cómo diagnosticas y resuelves esto?

Sugerencia: La autenticación se ha realizado correctamente, por lo que la credencial es válida. El problema está en el paso de asignación de VLAN. ¿Qué necesita WatchGuard del servidor RADIUS para asignar una VLAN?

Ver respuesta modelo

El paquete RADIUS Access-Accept de Purple no incluye los atributos de VLAN o los tiene formateados incorrectamente. Captura el tráfico RADIUS en el punto de acceso utilizando la herramienta de captura de paquetes de WatchGuard e inspecciona el paquete Access-Accept. Verifica que Purple devuelva los tres atributos IETF: Tunnel-Type (atributo 64, valor 13), Tunnel-Medium-Type (atributo 65, valor 6) y Tunnel-Private-Group-ID (atributo 81, configurado con el ID de la VLAN como una cadena de texto, por ejemplo, "101"). Confirma también que el puerto del switch conectado al punto de acceso esté configurado como un puerto troncal (trunk) que transporte las VLAN correspondientes, y que la configuración de VLAN del SSID en WatchGuard Cloud esté establecida en "Dynamic VLAN assigned by RADIUS" en lugar de un ID de VLAN estático.

Q3. El operador de un recinto quiere habilitar un Captive Portal de WiFi para invitados (splash page de Purple) y una red PPSK multiinquilino para 6 locales comerciales en el mismo punto de acceso WatchGuard AP330. Planean configurar ambas funciones en un único SSID para simplificar el entorno de radiofrecuencia. ¿Es esto posible? Si no es así, ¿cuál es la arquitectura correcta?

Sugerencia: Revisa los requisitos de VLAN dinámica de WatchGuard. ¿Existe algún conflicto de funciones?

Ver respuesta modelo

Esto no es posible en un único SSID. WatchGuard no admite VLAN dinámicas (necesarias para PPSK) y Captive Portal en el mismo SSID de forma simultánea. La arquitectura correcta utiliza dos SSID: SSID 1 ("Venue-Guest") configurado como un SSID abierto con redirección de Captive Portal externa a Purple para los invitados públicos. SSID 2 ("Venue-Retail") configurado con WPA2 Personal, PPSK habilitado y asignación de VLAN dinámica para los 6 inquilinos comerciales. Ambos SSID se transmiten desde el mismo hardware AP330, por lo que el impacto en la radiofrecuencia se limita a una baliza (beacon) de SSID adicional. El puerto del switch conectado al punto de acceso debe ser un puerto troncal (trunk) que transporte todas las VLAN correspondientes para ambos SSID.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.