Zyxel Nebula and guest WiFi: captive portal setup with Purple

Bienvenido a la serie de informes técnicos de Purple. Soy su anfitrión, y hoy abordaremos un escenario de despliegue crucial para directores de TI y arquitectos de red: la integración de Zyxel Nebula Cloud y los firewalls USG Flex con Purple WiFi. Si está desplegando WiFi para invitados en una cadena hotelera, un sector minorista o un entorno multi-inquilino, este episodio es para usted. Entremos directamente en la arquitectura. En primer lugar, ¿por qué esta integración? Zyxel proporciona un hardware robusto y Nebula ofrece una gestión en la nube centralizada. Pero cuando se despliega WiFi a escala - por ejemplo, en 50 sucursales minoristas o en un hotel de 200 habitaciones - se necesita algo más que conectividad básica. Se necesita un flujo de autenticación estructurado, una captura de datos que cumpla con las normativas y una segmentación de red dinámica. Ahí es donde entra Purple. Nos integramos con Zyxel a través de RADIUS y redirección externa de Captive Portal para ofrecer redes basadas en la identidad. Repasemos la configuración principal en Zyxel Nebula. El proceso comienza con los ajustes de su SSID. Diríjase a Site-wide, Configure, Access points, y luego a SSID advanced settings. Aquí, habilite la URL del Captive Portal externo. Introducirá la URL de redirección específica de Purple proporcionada en su portal de Purple. Pero la redirección por sí sola no es suficiente; debe configurar el Walled Garden. El Walled Garden define a qué dominios puede acceder el dispositivo de un invitado antes de la autenticación. Este es un error común. Debe incluir en la lista blanca los dominios del portal de Purple, cualquier CDN de activos y los endpoints estándar de detección de Captive Portal del sistema operativo. En Nebula, estos dominios se añaden línea por línea. Si olvida un dominio, la página de bienvenida no se cargará correctamente y sus invitados se quedarán bloqueados. A continuación, configuramos el servidor RADIUS. En SSID advanced settings, seleccione WPA2-Enterprise con My RADIUS server, o configure la autenticación basada en MAC según su flujo. Introduzca la dirección IP de RADIUS de Purple, configure el puerto de autenticación en 1812, el puerto de contabilidad (accounting) en 1813 e introduzca el secreto compartido. Configure siempre el servidor RADIUS de respaldo para garantizar una alta disponibilidad. Ahora, analicemos un escenario más avanzado: la segmentación multi-inquilino mediante claves precompartidas privadas de Zyxel, o PPSK. En entornos como residencias de estudiantes o espacios de coworking, se desea un único SSID, pero es necesario aislar el tráfico por inquilino. Zyxel PPSK le permite emitir una contraseña de WiFi única para cada usuario. Cuando se conectan, el controlador de Nebula los asigna dinámicamente a una VLAN específica en función de esa contraseña. Esto se configura en Cloud Authentication seleccionando DPPSK y asignando el ID de VLAN correspondiente. Reduce la sobrecarga de SSID y mejora significativamente la seguridad. ¿Qué hay del firewall USG Flex? Si ejecuta la puerta de enlace de forma local, debe asegurarse de que sus reglas de firewall y políticas de zona se alineen con sus segmentos inalámbricos. Normalmente, se crean zonas dedicadas para el tráfico de Guest, Staff y Multi-Tenant. La zona Guest solo debe tener acceso de salida a internet, con reglas estrictas que bloqueen el acceso a las zonas LAN o DMZ. Pasemos a las recomendaciones de implementación y los errores comunes. El problema más frecuente que vemos es la configuración incorrecta del walled garden. Si un invitado se conecta y ve una página en blanco, compruebe su lista de permitidos. Utilice las herramientas de desarrollo del navegador para identificar las solicitudes CDN bloqueadas. El segundo problema son los tiempos de espera de RADIUS. Asegúrese de que sus firewalls ascendentes permitan los puertos UDP 1812 y 1813 salientes hacia la plataforma en la nube de Purple. Hora de una sesión rápida de preguntas y respuestas. Pregunta uno: ¿Necesito una VLAN dedicada para el WiFi de invitados? Respuesta: Sí. Aísle siempre el tráfico de invitados en una VLAN dedicada. Esto es obligatorio para el cumplimiento de PCI-DSS si su establecimiento procesa pagos en la misma infraestructura física. Pregunta dos: ¿Puedo usar Purple con puntos de acceso independientes de Zyxel sin Nebula? Respuesta: Sí, pero gestionar la configuración de RADIUS y del portal por punto de acceso es ineficiente. Recomendamos encarecidamente utilizar Nebula Control Centre para una gestión centralizada. Pregunta tres: ¿Cómo gestiona Purple la aleatorización de direcciones MAC? Respuesta: Purple depende de la dirección MAC proporcionada por el controlador Zyxel a través de la contabilidad de RADIUS. Aunque los dispositivos aleatorizan las direcciones MAC por red, mantienen la misma MAC para su SSID específico, lo que permite la persistencia de la sesión durante su visita. En resumen: la integración de Zyxel Nebula con Purple requiere una configuración precisa de la URL del Captive Portal externo, un Walled Garden completo y una configuración de RADIUS exacta. Para establecimientos multi-inquilino, aproveche Zyxel PPSK para el direccionamiento dinámico de VLAN. Si configura estos elementos correctamente, ofrecerá una experiencia WiFi segura y escalable que capturará valiosos datos de origen. Si está planeando una implementación, revise la guía técnica completa para obtener instrucciones paso a paso y diagramas de arquitectura. Gracias por escucharnos y nos vemos en el próximo informe técnico.