Guía de integración de Captive Portal de MikroTik RouterOS y Purple WiFi

Guía de integración de Captive Portal de MikroTik RouterOS y Purple WiFi - Guion de podcast [INTRO - aproximadamente 1 minuto] Bienvenidos. Si gestiona infraestructura WiFi en un hotel, una cadena de tiendas minoristas, un estadio o un centro de conferencias, y utiliza MikroTik RouterOS, este episodio es para usted. Le guiaré exactamente sobre cómo integrar el Hotspot Gateway de MikroTik con la plataforma de WiFi para invitados de Purple, cubriendo tres casos de uso distintos: WiFi para invitados con un Captive Portal y walled garden, Staff WiFi seguro mediante 802.1X y segregación de red Multi-Tenant utilizando la función de clave precompartida privada (Private Pre-Shared Key) de MikroTik. Esto no es un resumen teórico. Al final de esto, tendrá los comandos de CLI específicos, los atributos RADIUS y la lógica de configuración que necesita para implementar o auditar estas configuraciones usted mismo. Comencemos. [ANÁLISIS TÉCNICO DETALLADO - aproximadamente 5 minutos] Parte uno: Guest WiFi y el Captive Portal de MikroTik. El Hotspot Gateway de MikroTik es el motor detrás de la redirección de WiFi para invitados en RouterOS. Cuando un visitante se conecta a su SSID de invitados, el Hotspot Gateway intercepta su tráfico HTTP y lo redirige a una página de inicio (splash page); ese es su Captive Portal. Purple aloja esa página de inicio. Su router MikroTik actúa como el Hotspot Gateway y el cliente RADIUS. La plataforma de Purple actúa como el servidor RADIUS. Así es como se configura. Primero, ejecute el asistente de configuración de Hotspot desde el menú IP en Winbox o a través de la CLI. Lo asignará a su interfaz orientada a los invitados, normalmente una interfaz VLAN o un puerto de bridge. Establezca su grupo de direcciones locales, configure sus servidores DNS y asigne un nombre DNS al hotspot. Ese nombre DNS es lo que los invitados ven en su navegador antes de autenticarse. Una vez completado el asistente, debe apuntar el perfil del hotspot al servidor RADIUS de Purple. En la CLI, se ve así: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Luego habilite RADIUS en el perfil del hotspot: /ip hotspot profile set default use-radius=yes Purple le proporcionará la dirección IP de RADIUS, el secreto compartido y la URL de la página de inicio cuando configure su sucursal en el panel de control de Purple. Ahora, el walled garden. Esto es crítico. Antes de que un invitado se autentique, su dispositivo debe poder llegar a la página de inicio de Purple y a cualquier proveedor de OAuth que esté utilizando: Google, Facebook, etc. Sin las entradas del walled garden, el bucle de redirección se rompe y los invitados no pueden iniciar sesión. En RouterOS, se agregan las entradas del walled garden en IP, Hotspot, Walled Garden. Debe agregar el dominio de la página de inicio de Purple, cualquier dominio de inicio de sesión social y cualquier host de CDN que sirva los recursos de la página de inicio de sesión. La documentación de Purple enumera los dominios exactos para su región. Agréguelos como entradas de IP o de nombre de host; las entradas de nombre de host son más resilientes cuando cambian las direcciones IP. Los atributos RADIUS clave que devuelve Purple tras una autenticación exitosa incluyen el tiempo de espera de la sesión (session timeout), que controla cuánto tiempo permanece conectado un invitado antes de que se le solicite iniciar sesión nuevamente, y opcionalmente un límite de ancho de banda utilizando el atributo específico del proveedor Mikrotik-Rate-Limit. Esto le permite aplicar políticas de uso justo por sesión de invitado directamente desde el panel de control de Purple sin tocar la configuración del router. Parte dos: Staff WiFi seguro con 802.1X. Aquí es donde se aleja por completo de las contraseñas compartidas. IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos. En una interfaz inalámbrica de MikroTik, se habilita la autenticación WPA2-Enterprise o WPA3-Enterprise, lo que significa que el punto de acceso se convierte en un autenticador: pasa las credenciales EAP del dispositivo del personal a un servidor RADIUS, que las valida y devuelve un Access-Accept o Access-Reject. El producto Staff WiFi de Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Cuando el dispositivo de un miembro del personal se conecta, presenta un certificado o un nombre de usuario y contraseña a través de PEAP-MSCHAPv2. El servidor RADIUS de Purple valida esa credencial contra su proveedor de identidad en tiempo real. Del lado de MikroTik, configura el perfil de seguridad inalámbrica con authentication-types establecido en wpa2-eap, y apunta el cliente RADIUS al servidor de Purple con service=wireless. En CAPsMAN (el sistema de gestión centralizada de puntos de acceso de MikroTik), configura esto a nivel de configuración de seguridad para que se aplique de manera consistente en todos sus puntos de acceso administrados. El servidor RADIUS puede devolver el atributo Mikrotik-Wireless-VLANID para colocar al personal autenticado en una VLAN específica. Así es como se aplica la segmentación de red: el personal de finanzas aterriba en la VLAN 10, el de operaciones en la VLAN 20, etc., todo desde un único SSID, todo impulsado por la identidad. Para la revocación automática (cuando un miembro del personal se va), la integración de Purple con su proveedor de identidad significa que cuando deshabilita la cuenta en Entra ID u Okta, el siguiente intento de reautenticación falla y el dispositivo se desconecta. No se requieren cambios manuales en la configuración del router. Parte tres: WiFi Multi-Tenant con claves precompartidas privadas (Private Pre-Shared Keys). Este es el caso más interesante desde el punto de vista arquitectónico. La PSK privada (Private PSK), a veces llamada PPSK o iPSK, le permite ejecutar un único SSID donde cada inquilino, residente o grupo de dispositivos se conecta con una contraseña única, y cada contraseña se asocia a una VLAN diferente. En MikroTik, esto funciona a través de la autenticación RADIUS basada en MAC en la interfaz inalámbrica. Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo al servidor RADIUS como nombre de usuario. El servidor RADIUS (ya sea el propio User Manager de MikroTik en RouterOS 7 o FreeRADIUS) busca esa dirección MAC y devuelve dos atributos específicos del proveedor: Mikrotik-Wireless-Psk, que es la contraseña por dispositivo, y Mikrotik-Wireless-VLANID, que coloca al dispositivo en la VLAN correcta. El perfil de seguridad inalámbrica necesita tener radius-mac-authentication establecido en yes, y el cliente RADIUS necesita service=wireless. En la práctica, para una propiedad de alquiler residencial (build-to-rent) con 200 departamentos, registraría previamente las direcciones MAC de los dispositivos de cada residente en la plataforma de Purple cuando se muden. Purple asocia cada MAC a una PSK única y a una VLAN correspondiente al segmento de red de ese departamento. El residente se conecta utilizando la contraseña de su departamento. Sus dispositivos aterrizan en una VLAN aislada. Los dispositivos de su vecino están en una VLAN completamente separada. Ninguno puede ver el tráfico del otro. Para los dispositivos que no admiten 802.1X (smart TVs, consolas de videojuegos, dispositivos IoT), este enfoque es la alternativa práctica. El dispositivo solo necesita admitir WPA2-PSK, algo que todos hacen. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Permítame presentarle las cuatro cosas que más comúnmente fallan en estas implementaciones. Primero: brechas en el walled garden. Si la página de inicio de Purple no se carga, verifique las entradas de su walled garden. El culpable más común es un dominio de CDN faltante o una redirección de inicio de sesión social que no está en la lista de permitidos. Utilice la herramienta torch de MikroTik o el sniffer de paquetes para observar qué consultas DNS se están bloqueando antes de la autenticación. Segundo: discrepancias en el tiempo de espera (timeout) de RADIUS. El tiempo de espera de RADIUS predeterminado de MikroTik es de 1,100 milisegundos. Si el servidor RADIUS de Purple está geográficamente distante o la ruta de red tiene latencia, verá fallas de autenticación intermitentes. Aumente el tiempo de espera a 3,000 milisegundos y configure un servidor RADIUS de respaldo para mayor resiliencia. Tercero: el filtrado de VLAN no está habilitado en el bridge. La asignación dinámica de VLAN a través de RADIUS solo funciona si el filtrado de VLAN del bridge está habilitado. Este es un requisito de RouterOS. Si observa que todos los clientes aterrizan en la VLAN predeterminada independientemente de lo que devuelva RADIUS, verifique que vlan-filtering=yes esté configurado en su interfaz de bridge. Cuarto: discrepancia de versiones de CAPsMAN. Si tiene una combinación de puntos de acceso administrados con CAPsMAN versión 2 y versión 3, el comportamiento del etiquetado de VLAN puede diferir. Estandarice en RouterOS 7 con CAPsMAN versión 3 en toda su infraestructura de puntos de acceso antes de implementar funciones de VLAN dinámicas. Una recomendación arquitectónica: ejecute el tráfico de invitados, del personal y de administración en VLAN separadas desde el primer día, incluso si no está utilizando los tres casos de uso de Purple de inmediato. Adaptar la segmentación de VLAN en una red plana es significativamente más disruptivo que construirla así desde el principio. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] ¿Puedo utilizar el User Manager integrado de MikroTik en lugar de un servidor RADIUS externo? Sí, para implementaciones más pequeñas. User Manager en RouterOS 7 admite PEAP-MSCHAPv2 para 802.1X inalámbrico y puede devolver el atributo Mikrotik-Wireless-VLANID. Para implementaciones de producción con Purple, utilizará la infraestructura RADIUS alojada de Purple, que se encarga de la integración con el proveedor de identidad y la gestión de sesiones por usted. ¿Purple es compatible con MikroTik CAPsMAN? Sí. Purple es independiente del hardware (hardware-agnostic). La integración funciona a nivel de RADIUS y redirección de hotspot, por lo que es compatible tanto con puntos de acceso MikroTik independientes como con implementaciones administradas por CAPsMAN. ¿Qué versión de RouterOS necesito? Se recomienda RouterOS 7.x para los tres casos de uso cubiertos en esta guía. La asignación dinámica de VLAN a través de RADIUS inalámbrico y el User Manager actualizado son funciones de RouterOS 7. RouterOS 6.x admite hotspot y autenticación RADIUS básica, pero carece de algunas de las capacidades de VLAN inalámbricas. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] En resumen: MikroTik RouterOS le ofrece tres puntos de integración distintos con Purple. El Hotspot Gateway se encarga de la redirección de WiFi para invitados y la autenticación del Captive Portal. La configuración inalámbrica 802.1X con RADIUS se encarga del Staff WiFi seguro con acceso basado en identidad. Y la autenticación RADIUS basada en MAC con PSK privada se encarga de la segregación de red Multi-Tenant para propiedades residenciales y de uso mixto. El hilo común en los tres es RADIUS. Configure correctamente su cliente RADIUS (IP correcta, secreto compartido correcto, tipo de servicio correcto, tiempo de espera correcto) y el resto vendrá por añadidura. Sus próximos pasos: inicie sesión en su panel de control de Purple, navegue a la configuración de la sucursal y obtenga sus credenciales de RADIUS. Luego, siga los comandos de CLI en la guía escrita para configurar su perfil de hotspot, su perfil de seguridad inalámbrica y sus entradas de walled garden. Realice pruebas con un solo punto de acceso antes de implementarlo en toda su infraestructura. Si está implementando esto a gran escala (múltiples sitios, cientos de puntos de acceso), el equipo de Servicios Profesionales de Purple puede respaldar la implementación. Purple opera en 80,000 sucursales activas a nivel mundial, con un tiempo de actividad del 99.999%, y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Gracias por escuchar. La guía escrita completa con todos los comandos de CLI, tablas de atributos RADIUS y ejemplos prácticos está vinculada en las notas del programa.