DrayTek Vigor y guest WiFi: configuración de captive portal con Purple

Bienvenido al resumen de integración de Purple. Hoy analizaremos los routers DrayTek Vigor y los puntos de acceso VigorAP, y específicamente cómo integrarlos con Purple WiFi. Este resumen está dirigido a gerentes de TI y arquitectos de red que despliegan redes para invitados, personal y multi-inquilino en sedes de PyMEs y mercado medio. Comencemos con el contexto. El hardware de DrayTek es increíblemente popular en el sector minorista, la hospitalidad y las unidades multifamiliares porque ofrece funciones robustas de enrutamiento, VPN y redes inalámbricas a un precio competitivo. Al emparejar un router DrayTek Vigor con Purple, transforma una conexión de internet estándar en una red basada en la identidad. Purple cuenta con más de 80,000 sedes activas y procesa 440 millones de inicios de sesión al año. Nosotros aportamos el Captive Portal, las analíticas y la capa de seguridad. DrayTek proporciona la infraestructura de red perimetral confiable. Pasemos al análisis técnico profundo. ¿Cómo hacemos que esto funcione exactamente? El núcleo de la integración se basa en la autenticación RADIUS y la redirección externa del Captive Portal. Primero, la configuración de WiFi para invitados. Configurará el router DrayTek Vigor como un gateway de Hotspot Web Portal. En la interfaz de DrayOS, bajo Applications y RADIUS, agregará la IP del servidor RADIUS de Purple y el secreto compartido. Luego, en Hotspot Web Portal, establecerá el Portal Method en External Server y pegará su URL de acceso específica de Purple. El router DrayTek intercepta el tráfico de los invitados, lo redirige a la nube superpuesta de Purple para su autenticación y luego utiliza RADIUS para otorgar el acceso. Un paso crítico aquí es el Walled Garden. Los invitados deben poder llegar a los servidores de Purple antes de ser autenticados. Debe configurar la pestaña Destination Domain en el perfil de DrayTek Hotspot para permitir el tráfico hacia los dominios de autenticación de Purple. Si omite esto, la página de bienvenida simplemente no se cargará. Este es uno de los errores más comunes durante el despliegue inicial. Ahora, ¿qué pasa con el WiFi para el personal? Para un acceso seguro del personal, no se utiliza un Captive Portal. Se utiliza la autenticación 802.1X, que es el estándar IEEE para el control de acceso a redes basado en puertos. En la configuración de DrayTek Wireless LAN Security, seleccione WPA2 diagonal 802.1X y apúntelo al servidor RADIUS de Purple. Los dispositivos del personal se autentican sin problemas mediante PEAP y MS-CHAPv2. Esto elimina por completo las contraseñas compartidas y le permite revocar el acceso al instante cuando un empleado se va. No hay necesidad de cambiar la contraseña en toda la sede. Hablemos de los entornos Multi-Tenant. Piense en residencias de estudiantes, espacios de coworking o concesiones minoristas. Necesita segmentación de red. DrayTek maneja esto con VLANs y Multiple PSK, también conocido como PPSK o Private Pre-Shared Key. Usted configura las VLANs en el router DrayTek. Por ejemplo, VLAN 10 para Invitados, VLAN 20 para Personal y VLAN 30 para Inquilinos. Al usar la función WPA2-PPSK de DrayTek en los VigorAPs, cada inquilino obtiene una contraseña única. Cuando se conectan, el punto de acceso vincula esa contraseña a su dirección MAC y los coloca en su VLAN aislada. Esto significa que un inquilino de una cafetería en la planta baja de un hotel no puede ver la red interna del hotel, aunque compartan el mismo punto de acceso físico. La asignación dinámica de VLAN lleva esto más allá. El servidor RADIUS de Purple puede devolver atributos RADIUS específicos cuando un usuario se autentica. Estos son los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek lee estos valores y asigna dinámicamente el cliente autenticado a la VLAN correcta. Esto es Identity-Based Networking en la práctica: la red se adapta a la identidad del usuario y no al revés. Pasemos a las Recomendaciones de Implementación y Errores Comunes. Recomendación uno: Utilice siempre un backhaul cableado para sus VigorAPs. Los sistemas de distribución inalámbrica, o repetidores universales, no pueden transmitir las etiquetas VLAN 802.1Q requeridas para una segmentación de red adecuada. Si desea una red de invitados aislada de su LAN interna, necesita que esas etiquetas VLAN permanezcan intactas, lo que significa un cable Ethernet físico desde cada punto de acceso de regreso al router DrayTek o a un switch administrado. Recomendación dos: Habilite AP-Assisted Mobility en los VigorAPs. Esta función desasocia de forma inteligente a los clientes con baja intensidad de señal, obligándolos a realizar roaming hacia un punto de acceso más cercano. Resuelve el problema de los clientes persistentes que afecta a muchas implementaciones de PyMEs. En un entorno minorista, un comprador que camina desde la parte delantera de la tienda hacia la parte trasera debería transicionar sin problemas entre los puntos de acceso. Sin AP-Assisted Mobility, su dispositivo podría seguir conectado al punto de acceso delantero incluso cuando la señal sea débil. Recomendación tres: Planifique su esquema de numeración de VLAN antes de comenzar. Cambiar los IDs de VLAN después de la implementación requiere reconfigurar el router, todos los puntos de acceso y, potencialmente, cualquier switch administrado en la ruta. Documente su esquema claramente. ¿El mayor error común? Olvidar reiniciar el router DrayTek después de aplicar las configuraciones de RADIUS y Hotspot. DrayOS requiere un reinicio para aplicar estos cambios específicos. Si omite esto, pasará horas solucionando problemas de una configuración que en realidad es correcta pero que simplemente no está activa aún. Esto está documentado en la guía de soporte oficial de Purple para hardware DrayTek. Hagamos una sección rápida de preguntas y respuestas. Pregunta: ¿Puedo usar el servidor RADIUS interno del router Vigor? Respuesta: Sí es posible para la autenticación 802.1X local, pero para la integración con Purple, debe usar los servidores RADIUS externos de Purple. Esto es lo que permite la gestión centralizada de políticas y los análisis que ofrece Purple. Pregunta: ¿Soporta DrayTek el direccionamiento dinámico de VLAN a través de RADIUS? Respuesta: Sí. El servidor RADIUS de Purple devuelve los atributos Tunnel-Type y Tunnel-Private-Group-ID tras la autenticación. El router DrayTek lee estos atributos y asigna dinámicamente el cliente a la VLAN correcta. Pregunta: ¿Qué sucede si el dispositivo iOS de un usuario utiliza una dirección MAC privada con PPSK? Respuesta: Fallará la autenticación. El perfil PPSK se vincula a una dirección MAC específica. Debe indicar a los usuarios que desactiven la opción de dirección WiFi privada para su red específica en la configuración de iOS para garantizar una conectividad estable. Pregunta: ¿Qué modelos de DrayTek son compatibles con Purple? Respuesta: Los modelos compatibles actualmente incluyen las series 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 y 3910. Consulte la documentación de soporte de Purple para obtener la lista más reciente. En resumen, DrayTek y Purple juntos le brindan un control de red de nivel empresarial a precios de PyME. Utilice el Hotspot Web Portal para invitados, 802.1X para el personal y PPSK con VLAN para los inquilinos. Planifique sus VLAN con cuidado, configure sus walled gardens y siempre reinicie después de aplicar la configuración de RADIUS. Utilice backhaul cableado para sus puntos de acceso, habilite AP-Assisted Mobility y anticípese a la aleatorización de direcciones MAC en dispositivos iOS. Gracias por escuchar este informe técnico. Configure su hardware y nos vemos en la plataforma Purple.