Ver transcripción del podcast
Bienvenido a la Serie de Sesiones Técnicas de Purple. Soy su anfitrión, y hoy cubriremos un patrón de implementación que se está volviendo cada vez más común en el sector hotelero, retail y propiedades multi-inquilino: la integración de los puntos de acceso Grandstream GWN con la plataforma de guest WiFi de Purple.
Si usted es un MSP, un equipo de TI interno o un arquitecto de redes a quien se le ha asignado una implementación de Grandstream GWN y se le ha pedido integrar un Captive Portal de marca con analíticas, este episodio es para usted. Cubriremos toda la pila: redirección de página de bienvenida para invitados, configuración de walled garden, WiFi seguro para el personal mediante 802.1X y segmentación de multi-inquilinos utilizando la función Private Pre-Shared Key de Grandstream. Comencemos.
- - -
Primero, un poco de contexto. La serie GWN de Grandstream es una gama sólida de puntos de acceso para el mercado medio. Contamos con el GWN7600 y el GWN7630 para implementaciones en interiores, el GWN7660 y el GWN7664 para entornos Wi-Fi 6, y el GWN7610 como opción de montaje en techo para espacios de mayor densidad. Se gestionan ya sea a través de GWN Manager, que es un controlador local que se instala en un servidor Linux o Windows, o a través de GWN dot Cloud, que es la plataforma de gestión alojada en la nube de Grandstream, ahora renombrada como GDMS Networking.
La buena noticia para los MSP es que ambas plataformas de gestión admiten la configuración de Captive Portal de forma nativa. Puede crear la política del portal, personalizar la página de bienvenida y asociarla con un SSID completamente dentro de GWN Manager o GWN dot Cloud. Pero para implementaciones empresariales donde necesita captura de datos que cumpla con el GDPR, automatización de marketing y analíticas en tiempo real, reemplazará ese portal nativo con una plataforma externa. Ahí es donde entra Purple.
Purple funciona como una capa superpuesta en la nube. Se ubica por encima de su hardware y proporciona el Captive Portal, la capa de autenticación RADIUS, el motor de analíticas y las herramientas de marketing. Purple da soporte a 80,000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024, por lo que la plataforma está plenamente probada a gran escala. La integración con Grandstream GWN sigue el mismo enfoque basado en estándares que Purple utiliza en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist y Ubiquiti UniFi.
- - -
Entremos en la arquitectura técnica. El flujo de guest WiFi en Grandstream GWN con Purple funciona de la siguiente manera.
Un invitado se conecta a su SSID de invitado. Su dispositivo envía una solicitud HTTP a cualquier sitio web. El punto de acceso GWN intercepta esa solicitud y emite una redirección HTTP 302 a la URL del portal de Purple. El invitado llega a su página de bienvenida personalizada, alojada por Purple. Se autentica, ya sea mediante correo electrónico, inicio de sesión social, verificación por SMS o un formulario personalizado. La plataforma de Purple valida esa autenticación, registra el consentimiento y los datos de conformidad con el GDPR, y luego envía un mensaje RADIUS Access-Accept de vuelta al punto de acceso GWN. El AP otorga acceso a Internet. Todo el flujo toma entre tres y cinco segundos desde la conexión hasta el acceso a Internet.Ahora, los componentes clave de configuración en el lado de Grandstream son: la política del Captive Portal, los ajustes de la splash page, el walled garden y la asociación del SSID. Permítame guiarle a través de cada uno.
---
Paso uno: configure la política del Captive Portal en GWN Manager o GWN dot Cloud.
Navegue a Captive Portal, luego a Policy List, y cree una nueva política. Asígnele un nombre descriptivo, algo como "Purple-Guest-Portal". Establezca el Authentication Type en RADIUS Server. Luego verá los campos para RADIUS Server Address, RADIUS Server Port y RADIUS Server Secret. Ingrese la dirección IP del servidor RADIUS de Purple y el puerto 1812 para la autenticación. Su secreto compartido proviene de la consola de administración del portal de Purple, en la sección de configuración de hardware del establecimiento. Establezca el RADIUS Authentication Method en PAP, que es el que utiliza el flujo del Captive Portal de Purple.
En Landing Page, configure esto como Redirect to External Page, e ingrese la URL de redireccionamiento de su portal de Purple. Esta es la URL a la que se enviará a los clientes cuando se conecten por primera vez. Nuevamente, esto proviene de su consola de administración de Purple.
Establezca el Expiration time para que coincida con la política de sesión de su establecimiento. Para un hotel, 24 horas es lo habitual. Para un recinto de conferencias, podría establecerlo para la duración del evento. Para un entorno minorista, de dos a cuatro horas es lo común.
Habilite el Failsafe Mode. Esto es importante. Si el punto de acceso GWN no puede comunicarse con el servidor RADIUS de Purple, el failsafe mode otorga acceso a Internet de todos modos en lugar de bloquear a todos los clientes. Para la mayoría de las implementaciones de hotelería y comercio minorista, una breve interrupción de RADIUS no debería provocar que todos los clientes pierdan la conectividad.
---
Paso dos: configure el walled garden.
El walled garden es la lista de dominios y direcciones IP a los que los clientes pueden acceder antes de haberse autenticado a través del portal. Si configura esto de manera incorrecta, los clientes verán una página en blanco o un portal roto, y culparán al WiFi.
In GWN Manager, el walled garden se configura bajo la política del Captive Portal como Pre-Authentication Rules. Agregue los siguientes dominios como reglas de permiso: el dominio del portal de Purple, que es portal dot purple dot ai; cualquier dominio de CDN desde el cual la splash page de Purple cargue recursos, incluyendo cloudfront dot net usando una entrada de comodín; el endpoint de detección de Captive Portal de Apple, captive dot apple dot com; y el endpoint de verificación de conectividad de Google, connectivitycheck dot gstatic dot com.
El portal de soporte de Purple tiene un generador dinámico de walled garden en support dot purple dot ai. Seleccione Grandstream de la lista de hardware, elija sus métodos de autenticación y este generará la lista exacta de dominios que necesita. Utilice esa lista. No intente crearla manualmente desde cero.
Una decisión que debe tomar: ¿incluye captive dot apple dot com en el walled garden o no? Si lo incluye, los dispositivos iOS no mostrarán el mini-navegador Captive Network Assistant de forma automática. Los invitados deberán abrir un navegador manualmente para acceder al portal. Si lo excluye, iOS inicia el mini-navegador automáticamente cuando el dispositivo se conecta. Para la mayoría de las implementaciones de hotelería, querrá que aparezca el mini-navegador, así que deje captive dot apple dot com fuera del walled garden.
---
Paso tres: configure el SSID.
In GWN Manager, navegue a SSID y edite su SSID de invitados. Habilite el Captive Portal y seleccione la política que acaba de crear. Establezca el SSID en WPA2-Personal con una contraseña abierta sencilla, o configúrelo como un SSID abierto si su establecimiento prefiere ese enfoque. La seguridad en este flujo proviene de la autenticación del portal, no de la contraseña de WiFi.
Habilite Client Isolation. Esto evita que los invitados vean los dispositivos de los demás en la red. Es un requisito de seguridad básico y una consideración de PCI-DSS si su establecimiento procesa pagos con tarjeta en la misma infraestructura.
Asigne el SSID a su VLAN de invitados. VLAN 10 es una convención común para el tráfico de invitados. Asegúrese de que su switch y router ascendentes estén configurados para enrutar esa VLAN a internet con las reglas de firewall correspondientes.
---
Ahora hablemos sobre el WiFi para el personal utilizando 802.1X.
IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos. Para el WiFi del personal, reemplaza la clave precompartida compartida por credenciales por usuario, validadas contra un proveedor de identidad. Cuando un miembro del personal se conecta, el punto de acceso GWN actúa como autenticador, su dispositivo es el suplicante y el servidor RADIUS de Purple es el servidor de autenticación.
En GWN Manager, cree un SSID independiente para el personal. Establezca el Security Mode en WPA2-Enterprise, lo que habilita 802.1X. Configure los ajustes del servidor RADIUS con la IP de RADIUS de Purple, el puerto 1812 y su secreto compartido. Habilite RADIUS Accounting en el puerto 1813 para obtener un registro de auditoría completo de quién se conectó, cuándo y durante cuánto tiempo. Este registro de auditoría es lo que necesita para el cumplimiento de GDPR y para responder a cualquier incidente de seguridad.
Para el método EAP, tiene dos opciones principales. EAP-TLS utiliza certificados digitales tanto en el servidor como en el dispositivo del cliente. Es la opción más segura, pero requiere una plataforma de gestión de dispositivos móviles para enviar los certificados a los dispositivos del personal. Si cuenta con Microsoft Intune o Jamf, EAP-TLS es la elección correcta.
PEAP, que significa Protected EAP, utiliza un usuario y contraseña dentro de un túnel TLS cifrado. Es más fácil de implementar, particularmente para entornos BYOD, pero debe asegurarse de capacitar al personal para que no acepte advertencias de certificados. Un punto de acceso no autorizado puede recopilar credenciales PEAP si los usuarios hacen clic para omitir los errores de certificado.
Habilite la asignación de VLAN dinámica en la configuración del SSID. Cuando esto está activado, el servidor RADIUS puede devolver un ID de VLAN en el paquete Access-Accept, y el AP GWN colocará el dispositivo conectado en esa VLAN. Esto significa que puede tener un solo SSID para el personal pero segmentar automáticamente al personal de TI en la VLAN 20, a la administración en la VLAN 21 y a los dispositivos de punto de venta en la VLAN 40, todo basado en la identidad del usuario en el directorio de Purple.
Los atributos RADIUS para VLAN dinámica son: Tunnel-Type establecido en VLAN, que es el valor de atributo 13; Tunnel-Medium-Type establecido en IEEE-802, que es el valor de atributo 6; y Tunnel-Private-Group-ID establecido en el número de VLAN como una cadena. Estos tres atributos en el paquete Access-Accept son todo lo que el AP GWN necesita para dirigir el dispositivo a la VLAN correcta.
-
Ahora, hablemos de la función que es particularmente relevante para propiedades de múltiples inquilinos: Grandstream Private Pre-Shared Keys, o PPSK.
PPSK es un mecanismo que permite que un solo SSID admita múltiples contraseñas únicas, cada una asignada a una VLAN o política de red diferente. Piense en un bloque de departamentos para alquiler, un espacio de co-working o un edificio de oficinas con servicios integrados. Desea un solo SSID visible para todos, pero cada inquilino obtiene su propia contraseña que lo coloca en su propio segmento de red aislado.
In GWN Manager, PPSK se configura bajo la configuración del SSID. Establezca el Security Mode en WPA2-Personal, luego habilite PPSK. Después puede crear entradas PSK individuales, cada una con una contraseña única y un ID de VLAN asociado. Cuando un dispositivo se conecta usando la contraseña del Inquilino A, el AP lo coloca en la VLAN 31. Cuando un dispositivo usa la contraseña del Inquilino B, aterriza en la VLAN 32. Los inquilinos comparten el mismo SSID pero están completamente aislados entre sí a nivel de capa de red.
Para implementaciones más grandes, Grandstream también es compatible con PPSK con backend RADIUS. En este modo, el AP envía la PSK como un atributo RADIUS al servidor de autenticación, el cual la valida y devuelve la asignación de VLAN correspondiente. Aquí es donde la función de redes basadas en identidad de Purple se integra directamente. Purple puede administrar la base de datos de PPSK, validar claves contra su directorio y devolver asignaciones dinámicas de VLAN, lo que le brinda una administración centralizada de cientos de credenciales de inquilinos desde una sola plataforma.
El atributo RADIUS utilizado para la validación de PPSK suele ser el atributo Tunnel-Password, o un atributo específico del proveedor según la versión de firmware. Consulte las notas de lanzamiento de Grandstream para su versión de firmware específica, ya que el mapeo de atributos ha evolucionado a través de las versiones de GWN Manager.
-
Permítame cubrir los dos modos de falla más comunes que veo en las implementaciones de Grandstream con portales externos.
El primero es que el redireccionamiento no se activa. Un invitado se conecta al SSID, abre un navegador y recibe un error de "no se puede acceder al sitio" en lugar de la página del portal. La causa más probable es una mala configuración de la walled garden. La propia página del portal está siendo bloqueada antes de la autenticación. Abra las herramientas de desarrollo del navegador en un dispositivo de prueba conectado al SSID de invitados, consulte la pestaña de red e identifique qué solicitudes están fallando. Agregue esos dominios a sus reglas de preautenticación.
El segundo modo de fallo es el tiempo de espera de RADIUS. El AP envía un Access-Request al servidor RADIUS de Purple y no obtiene respuesta. Esto suele significar que un firewall está bloqueando el puerto UDP 1812 saliente desde la VLAN de administración del AP hacia el rango de IP de RADIUS de Purple. Verifique las reglas de su firewall. Las direcciones IP de RADIUS de Purple están documentadas en la consola de administración de Purple, en la configuración del lugar. Asegúrese de que se permitan tanto la IP de RADIUS primaria como la secundaria.
Un tercero que vale la pena mencionar: la VLAN dinámica no funciona. El personal se conecta y termina en la VLAN incorrecta. La causa más común es que la opción Habilitar VLAN dinámica no esté marcada en la configuración del SSID en GWN Manager. Es una sola casilla de verificación que es fácil de pasar por alto. La segunda causa es una discrepancia en el secreto compartido. Si el secreto compartido en el AP no coincide con el configurado en Purple, el AP descarta silenciosamente la respuesta de RADIUS y recurre a la VLAN predeterminada.
-
Permítame presentarle dos escenarios del mundo real para que esto sea más concreto.
Escenario uno: un hotel de 120 habitaciones. El hotel cuenta con puntos de acceso GWN7660 administrados a través de GWN dot Cloud. Necesitan un portal de invitados personalizado para los huéspedes, una red de personal segura para la recepción y el servicio de limpieza, y una VLAN de administración separada para el sistema de gestión de la propiedad.
La configuración utiliza tres SSIDs: Guest WiFi en la VLAN 10 con la política de Captive Portal de Purple; Staff WiFi en la VLAN 20 con autenticación WPA2-Enterprise y PEAP contra el RADIUS de Purple; y un SSID de administración oculto en la VLAN 30 para las terminales de PMS. La asignación dinámica de VLAN en el SSID del personal significa que los dispositivos del servicio de limpieza terminan en la VLAN 21 con acceso restringido a Internet, mientras que los dispositivos de la recepción terminan en la VLAN 20 con acceso total. El panel de analíticas de Purple muestra al operador del hotel el recuento diario de invitados, la duración de las sesiones y las tasas de suscripción para marketing, lo que proporciona al equipo de marketing los datos que necesitan para realizar campañas dirigidas.Escenario dos: un bloque de departamentos para rentar de 40 unidades. El operador utiliza puntos de acceso GWN7630 con GWN Manager local. Cada departamento necesita su propia red aislada. El operador utiliza PPSK con un backend de RADIUS. Purple gestiona 40 credenciales de inquilino únicas, cada una asignada a una VLAN dedicada. Los residentes se conectan al SSID único "BuildingConnect" utilizando la contraseña de su unidad. El portal de Purple maneja el flujo de incorporación inicial, captura el consentimiento del residente y proporciona al operador análisis de ocupación y datos de interacción. Cuando un residente se muda, el operador revoca su credencial PPSK en la consola de administración de Purple, y el acceso se termina de inmediato. No es necesario cambiar la contraseña del SSID ni volver a configurar los puntos de acceso.
---
Preguntas rápidas. Tres preguntas que me hacen constantemente sobre las implementaciones de Grandstream.
Pregunta uno: ¿Puedo usar GWN dot Cloud en lugar de GWN Manager para la integración con Purple? Sí. La configuración del Captive Portal en GWN dot Cloud es funcionalmente idéntica a la de GWN Manager. Las rutas del menú son las mismas. Las configuraciones de RADIUS y walled garden se encuentran en las mismas ubicaciones. GWN dot Cloud es la mejor opción para los MSP que gestionan múltiples sitios, ya que se obtiene un panel de control único para todas las implementaciones.
Pregunta dos: ¿Soporta Purple los análisis nativos de Grandstream junto con los suyos? Purple reemplaza los análisis nativos del Captive Portal con su propio conjunto de datos más detallado. Obtiene recuentos de sesiones, tiempos de permanencia, tasas de aceptación, datos demográficos de los campos de formulario e integración con plataformas de marketing. Los análisis nativos de GWN para el rendimiento de RF, el estado de los puntos de acceso y el recuento de clientes siguen estando disponibles en GWN Manager o GWN dot Cloud junto con los análisis del portal de Purple.
Pregunta tres: ¿Qué versión de firmware necesito en los puntos de acceso GWN para PPSK con RADIUS? PPSK con backend de RADIUS requiere la versión de firmware GWN 1.0.19 o superior en la serie GWN76xx. Consulte las notas de la versión de Grandstream antes de la implementación. Ejecutar un firmware desactualizado es la causa más común de comportamiento inesperado en las implementaciones de PPSK.
---
Para concluir. Integrar los puntos de acceso Grandstream GWN con Purple es una implementación sencilla cuando se sigue la secuencia correcta. Primero, configure los ajustes de su servidor RADIUS en la política del Captive Portal. Cree su walled garden utilizando la herramienta generadora de dominios de Purple. Asocie la política con su SSID de invitados y habilite el aislamiento de clientes. Para el WiFi del personal, habilite WPA2-Enterprise con asignación dinámica de VLAN. Para propiedades multi-inquilino, utilice PPSK con backend de RADIUS y gestione las credenciales de forma centralizada a través de Purple.
Las cinco cosas que debe hacer bien: RADIUS en el puerto UDP 1812 con un secreto compartido coincidente; el walled garden que cubra todos los dominios de recursos del portal; el aislamiento de clientes habilitado en el SSID de invitados; la VLAN dinámica habilitada en la configuración del SSID; y el firmware PPSK en la versión 1.0.19 o superior.
Si domina estos cinco puntos, tendrá una implementación sólida y escalable que servirá a su establecimiento durante años. El equipo de incorporación de Purple puede validar su configuración antes del lanzamiento, y el tiempo de actividad del 99.999% de la plataforma significa que no tendrá que explicar caídas del portal a los huéspedes del hotel a las dos de la mañana.
Gracias por escucharnos. Para obtener más guías técnicas sobre integraciones de WiFi empresariales, visite purple punto ai. En el próximo episodio, cubriremos la asignación dinámica de VLAN con Microsoft Entra ID y la función SecurePass de Purple. Hasta entonces.