Mikrotik RouterOS y WiFi de invitados: configuración de Captive Portal con Purple

Guía de integración de MikroTik RouterOS Captive Portal y Purple WiFi - Guion de podcast [INTRO - aproximadamente 1 minuto] Bienvenido. Si gestiona la infraestructura WiFi de un hotel, una cadena de tiendas, un estadio o un centro de conferencias, y utiliza MikroTik RouterOS, este episodio es para usted. Le explicaré exactamente cómo integrar el Hotspot Gateway de MikroTik con la plataforma de WiFi para invitados de Purple, cubriendo tres casos de uso distintos: WiFi para invitados con un Captive Portal y un walled garden, WiFi seguro para el personal mediante 802.1X, y segregación de red multiinquilino utilizando la función Private Pre-Shared Key de MikroTik. Esto no es una descripción teórica. Al final, dispondrá de los comandos de CLI específicos, los atributos RADIUS y la lógica de configuración que necesita para implementar o auditar estos entornos por sí mismo. Empecemos. [INMERSIÓN TÉCNICA - aproximadamente 5 minutos] Parte uno: WiFi para invitados y el Captive Portal de MikroTik. El Hotspot Gateway de MikroTik es el motor que gestiona la redirección del WiFi para invitados en RouterOS. Cuando un visitante se conecta a su SSID de invitados, el Hotspot Gateway intercepta su tráfico HTTP y lo redirige a una splash page (ese es su Captive Portal). Purple aloja esa splash page. Su router MikroTik actúa como Hotspot Gateway y cliente RADIUS. La plataforma de Purple actúa como servidor RADIUS. Así es como se configura. En primer lugar, ejecute el asistente Hotspot Setup desde el menú IP en Winbox o a través de la CLI. Lo asignará a su interfaz orientada a invitados (normalmente una interfaz VLAN o un puerto bridge). Establezca su pool de direcciones locales, configure sus servidores DNS y asigne un nombre DNS al hotspot. Ese nombre DNS es el que verán los invitados en su navegador antes de autenticarse. Una vez completado el asistente, debe apuntar el perfil del hotspot al servidor RADIUS de Purple. En la CLI, el comando tiene este aspecto: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 A continuación, habilite RADIUS en el perfil del hotspot: /ip hotspot profile set default use-radius=yes Purple le proporcionará la dirección IP de RADIUS, el secreto compartido y la URL de la splash page cuando configure su recinto en el panel de Purple. Ahora, el walled garden. Esto es fundamental. Antes de que un invitado se autentique, su dispositivo debe poder acceder a la splash page de Purple y a cualquier proveedor de OAuth que esté utilizando (Google, Facebook, etc.). Sin las entradas del walled garden, el bucle de redirección se rompe y los invitados no pueden iniciar sesión. En RouterOS, se añaden las entradas del walled garden en IP, Hotspot, Walled Garden. Debe añadir el dominio de la splash page de Purple, los dominios de inicio de sesión social y los hosts de CDN que sirven los recursos de la página de inicio de sesión. La documentación de Purple enumera los dominios exactos para su región. Añádalos como entradas de IP o entradas de nombre de host; las entradas de nombre de host son más resistentes cuando cambian las direcciones IP. Los atributos RADIUS clave que Purple devuelve en una autenticación correcta incluyen el tiempo de espera de la sesión, que controla cuánto tiempo permanece conectado un invitado antes de que se le vuelva a pedir que lo haga, y opcionalmente un límite de velocidad de ancho de banda utilizando el atributo específico del proveedor Mikrotik-Rate-Limit. Esto le permite aplicar políticas de uso justo por sesión de invitado directamente desde el panel de control de Purple sin tocar la configuración del router. Parte dos: WiFi seguro para el personal con 802.1X. Aquí es donde se prescinde por completo de las contraseñas compartidas. IEEE 802.1X es el estándar para el control de acceso a la red basado en puertos. En una interfaz inalámbrica MikroTik, se activa la autenticación WPA2-Enterprise o WPA3-Enterprise, lo que significa que el punto de acceso se convierte en un autenticador: pasa las credenciales EAP del dispositivo del empleado a un servidor RADIUS, que las valida y devuelve un Access-Accept o un Access-Reject. El producto de WiFi para el personal de Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Cuando el dispositivo de un empleado se conecta, presenta un certificado o un nombre de usuario y contraseña mediante PEAP-MSCHAPv2. El servidor RADIUS de Purple valida esa credencial con su proveedor de identidad en tiempo real. En el lado de MikroTik, se configura el perfil de seguridad inalámbrica con authentication-types establecido en wpa2-eap, y se apunta el cliente RADIUS al servidor de Purple con service=wireless. En CAPsMAN - el sistema de gestión centralizada de puntos de acceso de MikroTik - esto se configura en el nivel de configuración de seguridad para que se aplique en todos los puntos de acceso gestionados de forma coherente. El servidor RADIUS puede devolver el atributo Mikrotik-Wireless-VLANID para situar al personal autenticado en una VLAN específica. Así es como se aplica la segmentación de red: el personal de finanzas aterriza en la VLAN 10, el de operaciones en la VLAN 20, etcétera, todo desde un único SSID y todo basado en la identidad. Para la revocación automática - cuando un empleado se marcha -, la integración de Purple con su proveedor de identidad permite que, al desactivar la cuenta en Entra ID o Okta, el siguiente intento de reautenticación falle y el dispositivo se desconecte. No es necesario realizar cambios manuales en la configuración del router. Parte tres: WiFi multiinquilino con claves privadas previamente compartidas. Esta es la opción más interesante desde el punto de vista arquitectónico. La PSK privada - a veces llamada PPSK o iPSK - permite ejecutar un único SSID en el que cada inquilino, residente o grupo de dispositivos se conecta con una contraseña única, y cada contraseña se asigna a una VLAN diferente. En MikroTik, esto funciona a través de la autenticación RADIUS basada en MAC en la interfaz inalámbrica. Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo al servidor RADIUS como nombre de usuario. El servidor RADIUS - ya sea el propio User Manager de MikroTik en RouterOS 7, o FreeRADIUS - busca esa dirección MAC y devuelve dos atributos específicos del proveedor: Mikrotik-Wireless-Psk, que es la contraseña por dispositivo, y Mikrotik-Wireless-VLANID, que sitúa al dispositivo en la VLAN correcta. El perfil de seguridad inalámbrico debe tener radius-mac-authentication configurado como yes, y el cliente RADIUS necesita service=wireless. En la práctica, para una propiedad build-to-rent de 200 apartamentos, se registrarían previamente las direcciones MAC de los dispositivos de cada residente en la plataforma de Purple cuando se muden. Purple asocia cada MAC a una clave PSK única y a una VLAN correspondiente al segmento de red de ese apartamento. El residente se conecta utilizando la contraseña de su apartamento. Sus dispositivos se ubican en una VLAN aislada. Los dispositivos de su vecino están en una VLAN completamente separada. Ninguno de los dos puede ver el tráfico del otro. Para los dispositivos que no admiten 802.1X - Smart TV, videoconsolas, dispositivos IoT - este enfoque es la alternativa práctica. El dispositivo solo necesita soportar WPA2-PSK, algo que todos hacen. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Permítame detallar las cuatro situaciones que más comúnmente fallan en estas implementaciones. Primero: brechas en el walled garden. Si la página de inicio de Purple no se carga, revise las entradas del walled garden. El culpable más común es un dominio CDN que falta o una redirección de inicio de sesión social que no está en la lista de permitidos. Utilice la herramienta torch de MikroTik o el packet sniffer para observar qué consultas DNS se están bloqueando antes de la autenticación. Segundo: desajustes en el tiempo de espera de RADIUS. El tiempo de espera de RADIUS predeterminado de MikroTik es de 1.100 milisegundos. Si el servidor RADIUS de Purple está geográficamente distante o la ruta de red presenta latencia, verá fallos de autenticación intermitentes. Aumente el tiempo de espera a 3.000 milisegundos y configure un servidor RADIUS de respaldo para mayor resiliencia. Tercero: filtrado de VLAN no habilitado en el bridge. La asignación dinámica de VLAN a través de RADIUS solo funciona si el filtrado de VLAN del bridge está habilitado. Este es un requisito de RouterOS. Si observa que todos los clientes terminan en la VLAN predeterminada independientemente de lo que devuelva RADIUS, verifique que vlan-filtering=yes esté configurado en su interfaz bridge. Cuarto: desajuste de la versión de CAPsMAN. Si está utilizando una mezcla de puntos de acceso gestionados con CAPsMAN versión 2 y versión 3, el comportamiento de etiquetado de VLAN puede diferir. Estandarice a RouterOS 7 con CAPsMAN versión 3 en toda su infraestructura de AP antes de implementar funciones de VLAN dinámica. Una recomendación de arquitectura: gestione el tráfico de invitados, personal y administración en VLAN separadas desde el primer día, incluso si no está utilizando los tres casos de uso de Purple de inmediato. Adaptar la segmentación de VLAN a posteriori en una red plana es significativamente más disruptivo que diseñarla así desde el principio. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] ¿Puedo utilizar el User Manager integrado de MikroTik en lugar de un servidor RADIUS externo? Sí, para implementaciones más pequeñas. El User Manager en RouterOS 7 admite PEAP-MSCHAPv2 para redes inalámbricas 802.1X y puede devolver el atributo Mikrotik-Wireless-VLANID. Para implementaciones de producción con Purple, utilizará la infraestructura RADIUS alojada de Purple, que se encarga de la integración con el proveedor de identidad y la gestión de sesiones por usted. ¿Admite Purple la función CAPsMAN de MikroTik? Sí. Purple es independiente del hardware. La integración funciona a nivel de RADIUS y redirección de hotspot, por lo que es compatible tanto con puntos de acceso MikroTik independientes como con despliegues gestionados por CAPsMAN. ¿Qué versión de RouterOS necesito? Se recomienda RouterOS 7.x para los tres casos de uso tratados en esta guía. La asignación dinámica de VLAN a través de RADIUS inalámbrico y el User Manager actualizado son características de RouterOS 7. RouterOS 6.x admite hotspot y autenticación RADIUS básica, pero carece de algunas de las capacidades de VLAN inalámbrica. [RESUMEN Y PASOS SIGUIENTES - aproximadamente 1 minuto] En resumen: MikroTik RouterOS le ofrece tres puntos de integración distintos con Purple. El Hotspot Gateway se encarga de la redirección de WiFi de invitados y de la autenticación de Captive Portal. La configuración inalámbrica 802.1X con RADIUS se encarga de la seguridad de WiFi para el personal con acceso basado en la identidad. Y la autenticación RADIUS basada en MAC con Private PSK se encarga de la segregación de redes multiinquilino para propiedades residenciales y de uso mixto. El elemento común en los tres es RADIUS. Asegúrese de que la configuración de su cliente RADIUS sea correcta - IP correcta, secreto compartido correcto, tipo de servicio correcto, tiempo de espera correcto - y el resto vendrá rodado. Sus siguientes pasos: inicie sesión en su panel de Purple, navegue hasta la configuración de la sede y obtenga sus credenciales RADIUS. A continuación, siga los comandos de CLI de la guía escrita para configurar su perfil de hotspot, su perfil de seguridad inalámbrica y sus entradas de walled garden. Realice una prueba con un único punto de acceso antes de implementarlo en toda su infraestructura. Si va a realizar este despliegue a gran escala (múltiples sedes, cientos de puntos de acceso), el equipo de Servicios Profesionales de Purple puede respaldar la implementación. Purple funciona en 80.000 sedes activas en todo el mundo, con un tiempo de actividad del 99,999 %, y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Gracias por escucharnos. La guía escrita completa con todos los comandos de CLI, tablas de atributos RADIUS y ejemplos prácticos se encuentra enlazada en las notas del programa.