Grandstream GWN Access Points Integration with Purple WiFi

Te damos la bienvenida a la serie de Sesiones Técnicas de Purple. Soy tu anfitrión y hoy cubriremos un patrón de implementación que es cada vez más común en los sectores de hospitalidad, retail y propiedades multi-inquilino: la integración de los puntos de acceso Grandstream GWN con la plataforma de guest WiFi de Purple. Si eres un MSP, un equipo de TI interno o un arquitecto de redes a quien se le ha asignado una implementación de Grandstream GWN y se le ha pedido añadir un Captive Portal de marca con analíticas, este episodio es para ti. Cubriremos todo el stack: redirección de páginas de inicio de sesión para invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X y segmentación de multi-inquilinos utilizando la función Private Pre-Shared Key de Grandstream. Comencemos. --- Primero, un poco de contexto. La serie GWN de Grandstream es una sólida gama de puntos de acceso para el mercado medio. Tienes el GWN7600 y el GWN7630 para implementaciones en interiores, el GWN7660 y el GWN7664 para entornos Wi-Fi 6, y el GWN7610 como una opción de montaje en techo para espacios de mayor densidad. Se gestionan ya sea a través de GWN Manager, que es un controlador local que instalas en un servidor Linux o Windows, o a través de GWN dot Cloud, que es la plataforma de gestión alojada en la nube de Grandstream, ahora renombrada como GDMS Networking. La buena noticia para los MSP es que ambas plataformas de gestión admiten la configuración de Captive Portal de forma nativa. Puedes crear la política del portal, personalizar la página de inicio de sesión y asociarla con un SSID completamente dentro de GWN Manager o GWN dot Cloud. Pero para implementaciones empresariales donde necesitas captura de datos que cumpla con el GDPR, automatización de marketing y analíticas en tiempo real, vas a reemplazar ese portal nativo con una plataforma externa. Ahí es donde entra Purple. Purple funciona como una capa de red en la nube (cloud overlay). Se sitúa por encima de tu hardware y proporciona el Captive Portal, la capa de autenticación RADIUS, el motor de analíticas y las herramientas de marketing. Purple da soporte a 80,000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está más que probada a gran escala. La integración con Grandstream GWN sigue el mismo enfoque basado en estándares que Purple utiliza en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi. --- Pasemos a la arquitectura técnica. El flujo de guest WiFi en Grandstream GWN con Purple funciona de la siguiente manera. Un invitado se conecta a tu SSID de invitados. Su dispositivo envía una solicitud HTTP a cualquier sitio web. El punto de acceso GWN intercepta esa solicitud y emite un redireccionamiento HTTP 302 a la URL del portal de Purple. El invitado llega a tu página de inicio de sesión personalizada, alojada por Purple. Se autentica, ya sea mediante correo electrónico, inicio de sesión con redes sociales, verificación por SMS o un formulario personalizado. La plataforma de Purple valida esa autenticación, registra el consentimiento y los datos de conformidad con el GDPR, y luego envía un RADIUS Access-Accept de vuelta al punto de acceso GWN. El AP otorga acceso a Internet. Todo el flujo tarda entre tres y cinco segundos desde la conexión hasta el acceso a Internet. Ahora, los componentes clave de configuración del lado de Grandstream son: la política del Captive Portal, la configuración de la splash page, el walled garden y la asociación de SSID. Permítame guiarle a través de cada uno. --- Paso uno: configure la política de Captive Portal en GWN Manager o GWN dot Cloud. Navegue a Captive Portal, luego a Policy List, y cree una nueva política. Asígnele un nombre descriptivo, algo como "Purple-Guest-Portal". Establezca el Authentication Type en RADIUS Server. Luego verá los campos para RADIUS Server Address, RADIUS Server Port y RADIUS Server Secret. Ingrese la dirección IP del servidor RADIUS de Purple y el puerto 1812 para la autenticación. Su secreto compartido proviene de la consola de administración del portal de Purple, en la sección de configuración de hardware de la sucursal. Establezca el RADIUS Authentication Method en PAP, que es el que utiliza el flujo de Captive Portal de Purple. En Landing Page, configure esto como Redirect to External Page e ingrese la URL de redireccionamiento de su portal de Purple. Esta es la URL a la que se enviará a los clientes cuando se conecten por primera vez. Nuevamente, esto proviene de su consola de administración de Purple. Establezca el Expiration time para que coincida con la política de sesión de su sucursal. Para un hotel, lo típico son 24 horas. Para el recinto de una conferencia, puede configurarlo para la duración del evento. Para un entorno de retail, lo común es de dos a cuatro horas. Habilite el Failsafe Mode. Esto es importante. Si el punto de acceso GWN no puede comunicarse con el servidor RADIUS de Purple, el modo failsafe otorga acceso a internet de todos modos en lugar de bloquear a todos los clientes. Para la mayoría de las implementaciones de hotelería y retail, una breve interrupción de RADIUS no debería provocar que todos los clientes pierdan la conectividad. --- Paso dos: configure el walled garden. El walled garden es la lista de dominios y direcciones IP a los que los clientes pueden acceder antes de haberse autenticado a través del portal. Si configura esto de forma incorrecta, los clientes verán una página en blanco o un portal roto, y culparán al WiFi. In GWN Manager, el walled garden se configura bajo la política de Captive Portal como Pre-Authentication Rules. Agregue los siguientes dominios como reglas de permiso: el dominio del portal de Purple, que es portal dot purple dot ai; cualquier dominio CDN desde el cual la splash page de Purple cargue recursos, incluyendo cloudfront dot net usando una entrada comodín; el endpoint de detección de Captive Portal de Apple, captive dot apple dot com; y el endpoint de verificación de conectividad de Google, connectivitycheck dot gstatic dot com. El portal de soporte de Purple tiene un generador dinámico de walled garden en support dot purple dot ai. Seleccione Grandstream en la lista de hardware, elija sus métodos de autenticación y este generará la lista exacta de dominios que necesita. Utilice esa lista. No intente crearla manualmente desde cero. Una decisión que debe tomar: ¿incluye captive dot apple dot com en el walled garden o no? Si lo incluye, los dispositivos iOS no mostrarán el mini-navegador Captive Network Assistant de forma automática. Los invitados deberán abrir un navegador manualmente para acceder al portal. Si lo excluye, iOS abre el mini-navegador automáticamente cuando el dispositivo se conecta. Para la mayoría de los despliegues de hospitalidad, se busca que aparezca el mini-navegador, por lo que debe dejar captive dot apple dot com fuera del walled garden. --- Paso tres: configure el SSID. En GWN Manager, navegue a SSID y edite su SSID de invitados. Habilite el Captive Portal y seleccione la política que acaba de crear. Configure el SSID como WPA2-Personal con una contraseña abierta sencilla, o configúrelo como un SSID abierto si su establecimiento prefiere esa opción. La seguridad en este flujo proviene de la autenticación del portal, no de la contraseña de WiFi. Habilite Client Isolation (Aislamiento de Clientes). Esto evita que los invitados vean los dispositivos de los demás en la red. Es un requisito básico de seguridad y una consideración de PCI DSS si su establecimiento procesa pagos con tarjeta en la misma infraestructura. Asigne el SSID a su VLAN de invitados. La VLAN 10 es una convención común para el tráfico de invitados. Asegúrese de que su switch y router de subida estén configurados para enrutar esa VLAN a internet con las reglas de firewall correspondientes. --- Ahora hablemos sobre el WiFi para el personal utilizando 802.1X. IEEE 802.1X es el estándar para el control de acceso a la red basado en puertos. Para el WiFi del personal, este reemplaza la clave compartida por credenciales de usuario individuales, validadas contra un proveedor de identidad. Cuando un miembro del personal se conecta, el punto de acceso GWN actúa como autenticador, su dispositivo es el suplicante y el servidor RADIUS de Purple es el servidor de autenticación. En GWN Manager, cree un SSID independiente para el personal. Establezca el Modo de Seguridad en WPA2-Enterprise, lo que habilita 802.1X. Configure los parámetros del servidor RADIUS con la IP de RADIUS de Purple, el puerto 1812 y su secreto compartido. Habilite RADIUS Accounting en el puerto 1813 para obtener un registro de auditoría completo de quién se conectó, cuándo y por cuánto tiempo. Este registro de auditoría es lo que necesita para el cumplimiento de GDPR y para responder a cualquier incidente de seguridad. Para el método EAP, tiene dos opciones principales. EAP-TLS utiliza certificados digitales tanto en el servidor como en el dispositivo del cliente. Es la opción más segura, pero requiere una plataforma de Gestión de Dispositivos Móviles (MDM) para enviar los certificados a los dispositivos del personal. Si cuenta con Microsoft Intune o Jamf, EAP-TLS es la elección correcta. PEAP, que significa EAP Protegido, utiliza un usuario y contraseña dentro de un túnel TLS cifrado. Es más fácil de implementar, particularmente para entornos BYOD, pero debe asegurarse de capacitar al personal para que no acepte advertencias de certificados. Un punto de acceso no autorizado puede recopilar credenciales PEAP si los usuarios aceptan errores de certificado sin prestar atención. Habilite la asignación dinámica de VLAN en la configuración del SSID. Cuando esta opción está activada, el servidor RADIUS puede devolver un ID de VLAN en el paquete Access-Accept, y el AP de GWN colocará al dispositivo que se conecta en esa VLAN. Esto significa que puede tener un solo SSID para el personal, pero segmentar automáticamente al personal de TI en la VLAN 20, a la administración en la VLAN 21 y a los dispositivos de punto de venta en la VLAN 40, todo esto basado en la identidad del usuario en el directorio de Purple. Los atributos RADIUS para la VLAN dinámica son: Tunnel-Type configurado en VLAN, que es el valor de atributo 13; Tunnel-Medium-Type configurado en IEEE-802, que es el valor de atributo 6; y Tunnel-Private-Group-ID configurado con el número de VLAN como una cadena. Estos tres atributos en el paquete Access-Accept son todo lo que el AP de GWN necesita para dirigir el dispositivo a la VLAN correcta. --- Ahora hablemos de la función que es particularmente relevante para propiedades multi-inquilino: Grandstream Private Pre-Shared Keys, o PPSK. PPSK es un mecanismo que permite a un único SSID admitir múltiples contraseñas únicas, cada una asignada a una VLAN o política de red diferente. Piense en un edificio de departamentos para alquiler, un espacio de coworking o un edificio de oficinas con servicios integrados. Usted desea que un solo SSID sea visible para todos, pero que cada inquilino tenga su propia contraseña que lo coloque en su propio segmento de red aislado. En GWN Manager, PPSK se configura en los ajustes de SSID. Establezca el modo de seguridad en WPA2-Personal, luego habilite PPSK. Después puede crear entradas PSK individuales, cada una con una contraseña única y un ID de VLAN asociado. Cuando un dispositivo se conecta usando la contraseña del Inquilino A, el AP lo coloca en la VLAN 31. Cuando un dispositivo usa la contraseña del Inquilino B, cae en la VLAN 32. Los inquilinos comparten el mismo SSID pero están completamente aislados entre sí en la capa de red. Para implementaciones más grandes, Grandstream también es compatible con PPSK con backend RADIUS. En este modo, el AP envía la PSK como un atributo RADIUS al servidor de autenticación, el cual la valida y devuelve la asignación de VLAN correspondiente. Aquí es donde la función de Redes Basadas en la Identidad de Purple se integra directamente. Purple puede administrar la base de datos PPSK, validar claves en su directorio y devolver asignaciones dinámicas de VLAN, lo que le brinda una gestión centralizada de cientos de credenciales de inquilinos desde una sola plataforma. El atributo RADIUS utilizado para la validación de PPSK suele ser el atributo Tunnel-Password, o un atributo específico del proveedor según la versión de firmware. Consulte las notas de la versión de Grandstream para su firmware específico, ya que el mapeo de atributos ha evolucionado a lo largo de las versiones de GWN Manager. --- Permítame cubrir los dos modos de falla más comunes que veo en las implementaciones de Grandstream con portales externos (Captive Portal). El primero es que la redirección no se active. Un usuario se conecta al SSID, abre un navegador y recibe un error de "no se puede acceder al sitio" en lugar de la página del portal. La causa más probable es una configuración incorrecta del walled garden. La propia página del portal está siendo bloqueada antes de la autenticación. Abre las herramientas de desarrollo del navegador en un dispositivo de prueba conectado al SSID de invitados, ve a la pestaña de red e identifica qué solicitudes están fallando. Agrega esos dominios a tus reglas de preautenticación. El segundo modo de falla es el tiempo de espera de RADIUS (RADIUS timeout). El AP envía un Access-Request al servidor RADIUS de Purple y no recibe respuesta. Esto generalmente significa que un firewall está bloqueando el puerto UDP 1812 de salida desde la VLAN de administración del AP hacia el rango de IP de RADIUS de Purple. Verifica las reglas de tu firewall. Las direcciones IP de RADIUS de Purple están documentadas en la consola de administración de Purple, en la configuración del establecimiento. Asegúrate de que tanto la IP de RADIUS primaria como la secundaria estén permitidas. Un tercero que vale la pena mencionar: la VLAN dinámica no funciona. El personal se conecta y termina en la VLAN incorrecta. La causa más común es que la opción "Enable Dynamic VLAN" no está seleccionada en la configuración del SSID en GWN Manager. Es una sola casilla de verificación que es fácil de pasar por alto. La segunda causa es una discrepancia en el shared secret. Si el shared secret en el AP no coincide con el configurado en Purple, el AP descarta silenciosamente la respuesta de RADIUS y recurre a la VLAN predeterminada. --- Permíteme presentarte dos escenarios del mundo real para hacerlo más concreto. Escenario uno: un hotel de 120 habitaciones. El hotel opera puntos de acceso GWN7660 administrados a través de GWN dot Cloud. Necesitan un Captive Portal personalizado con su marca para los huéspedes, una red segura para el personal de recepción y limpieza, y una VLAN de administración independiente para el sistema de gestión de la propiedad (PMS). La configuración utiliza tres SSIDs: Guest WiFi en la VLAN 10 con la política de Captive Portal de Purple; Staff WiFi en la VLAN 20 con autenticación WPA2-Enterprise y PEAP contra el RADIUS de Purple; y un SSID de administración oculto en la VLAN 30 para las terminales de PMS. La asignación dinámica de VLAN en el SSID del personal significa que los dispositivos de limpieza terminan en la VLAN 21 con acceso restringido a Internet, mientras que los de recepción terminan en la VLAN 20 con acceso total. El panel de analíticas de Purple muestra al operador del hotel el recuento diario de huéspedes, la duración de las sesiones y las tasas de aceptación para marketing, lo que brinda al equipo de marketing los datos que necesitan para ejecutar campañas dirigidas. Escenario dos: un bloque de departamentos para rentar de 40 unidades. El operador gestiona puntos de acceso GWN7630 con GWN Manager local. Cada departamento necesita su propia red aislada. El operador utiliza PPSK con backend RADIUS. Purple gestiona 40 credenciales de inquilino únicas, cada una asignada a una VLAN dedicada. Los residentes se conectan a la única SSID "BuildingConnect" utilizando la contraseña de su unidad. El Captive Portal de Purple maneja el flujo de incorporación inicial, captura el consentimiento del residente y proporciona al operador análisis de ocupación y datos de interacción. Cuando un residente se muda, el operador revoca su credencial PPSK en la consola de administración de Purple, y el acceso se termina de inmediato. No es necesario cambiar la contraseña de la SSID ni volver a configurar los puntos de acceso. --- Preguntas rápidas. Tres preguntas que me hacen constantemente sobre las implementaciones de Grandstream. Pregunta uno: ¿Puedo usar GWN dot Cloud en lugar de GWN Manager para la integración con Purple? Sí. La configuración del Captive Portal en GWN dot Cloud es funcionalmente idéntica a la de GWN Manager. Las rutas del menú son las mismas. Las configuraciones de RADIUS y del walled garden están en las mismas ubicaciones. GWN dot Cloud es la mejor opción para los MSP que gestionan múltiples sitios, ya que obtienen una consola única para todas las implementaciones. Pregunta dos: ¿Soporta Purple los análisis nativos de Grandstream junto con los suyos? Purple reemplaza los análisis nativos del Captive Portal con su propio conjunto de datos más detallado. Obtiene recuentos de sesiones, tiempos de permanencia, tasas de suscripción, datos demográficos de los campos de formulario e integración con plataformas de marketing. Los análisis nativos de GWN para el rendimiento de RF, el estado de los puntos de acceso y el recuento de clientes siguen estando disponibles en GWN Manager o GWN dot Cloud junto con los análisis de portal de Purple. Pregunta tres: ¿Qué versión de firmware necesito en los puntos de acceso GWN para PPSK con RADIUS? PPSK con backend RADIUS requiere el firmware GWN 1.0.19 o superior en la serie GWN76xx. Verifique las notas de la versión de Grandstream antes de la implementación. Ejecutar un firmware desactualizado es la causa más común de comportamientos inesperados en las implementaciones de PPSK. --- Para resumir. Integrar los puntos de acceso Grandstream GWN con Purple es una implementación sencilla cuando se sigue la secuencia correcta. Primero, configure los ajustes de su servidor RADIUS en la política del Captive Portal. Cree su walled garden utilizando la herramienta generadora de dominios de Purple. Asocie la política con su SSID de invitados y habilite el aislamiento de clientes. Para el WiFi del personal, habilite WPA2-Enterprise con asignación dinámica de VLAN. Para propiedades multi-inquilino, use PPSK con backend RADIUS y gestione las credenciales de forma centralizada a través de Purple. Las cinco cosas que debe hacer bien: RADIUS en UDP 1812 con un secreto compartido coincidente; el walled garden que cubra todos los dominios de activos del portal; el aislamiento de clientes habilitado en la SSID de invitados; VLAN dinámica habilitada en la configuración de SSID; y el firmware PPSK en la versión 1.0.19 o superior. Haz bien esos cinco puntos y tendrás una implementación sólida y escalable que servirá a tu establecimiento durante años. El equipo de incorporación de Purple puede validar tu configuración antes del lanzamiento, y el tiempo de actividad del 99.999% de la plataforma significa que no tendrás que explicar caídas del Captive Portal a los huéspedes del hotel a las dos de la mañana. Gracias por escucharnos. Para obtener más guías técnicas sobre integraciones de WiFi empresariales, visita purple punto ai. En el próximo episodio, cubriremos la asignación dinámica de VLAN con Microsoft Entra ID y la función SecurePass de Purple. Hasta entonces.