Integración de WatchGuard Firebox con Purple WiFi: Guía de configuración y establecimiento

Esta guía es un manual de integración paso a paso para administradores de TI y arquitectos de red que despliegan WatchGuard Firebox y Access Points con Purple. Cubre la redirección a un Captive Portal externo para Guest WiFi, autenticación segura 802.1X para Staff WiFi y segmentación multi-inquilino usando WatchGuard Private Pre-Shared Keys (PPSK) con direccionamiento dinámico de VLAN, brindándole una arquitectura única y unificada en todos los niveles de acceso.

📖 8 min de lectura📝 1,854 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al informe de integración. Hoy cubriremos la integración de WatchGuard Firebox y Access Point con Purple WiFi. Este es un manual técnico para gerentes de TI, arquitectos de red y directores de operaciones de recintos que necesitan implementar una infraestructura inalámbrica segura y escalable. Analizaremos los Captive Portals para Guest WiFi, Staff WiFi seguro mediante 802.1X y la segmentación Multi-Tenant utilizando claves precompartidas privadas de WatchGuard, o PPSK. Pasemos directamente al contexto.

Cuando gestionas un recinto complejo, por ejemplo, un estadio, un gran centro comercial o una unidad multi-habitacional, necesitas un control preciso sobre quién accede a la red y qué puede hacer una vez conectado. También necesitas capturar datos de origen para impulsar los ingresos de marketing. WatchGuard proporciona la plataforma de seguridad unificada y el hardware. Purple proporciona la superposición en la nube, la gestión de identidades y la analítica. Al integrar ambos, automatizas el control de acceso basado en la identidad. Eliminas la necesidad de gateways independientes para invitados y personal, lo que reduce el gasto en hardware y simplifica la gestión. Purple actualmente da servicio a más de 80,000 recintos activos y ha procesado 440 millones de inicios de sesión tan solo en 2024, por lo que la plataforma está diseñada para manejar la escala de cualquier recinto que probablemente estés gestionando.

Pasemos al análisis técnico profundo. La arquitectura se basa en protocolos RADIUS estándar y redirección HTTP. Tenemos tres niveles de acceso principales. Primero, Guest WiFi. Este es un SSID abierto. El AP de WatchGuard intercepta las solicitudes HTTP y redirige al usuario a la página de bienvenida alojada de Purple. Segundo, Staff WiFi. Este es un SSID WPA3-Enterprise seguro que utiliza 802.1X. Los dispositivos se autentican directamente contra los servidores RADIUS de Purple utilizando EAP-TLS o PEAP. Tercero, Multi-Tenant WiFi. Este utiliza WatchGuard PPSK. Varios usuarios se conectan a un único SSID, pero cada uno utiliza una contraseña única. El AP de WatchGuard consulta al servidor RADIUS de Purple, el cual asigna dinámicamente una VLAN basada en esa clave específica.

Entonces, ¿cómo configuramos el Captive Portal para Guest WiFi? El primer paso es configurar el servidor RADIUS en WatchGuard Cloud o en el Firebox Policy Manager. Apuntas el servidor RADIUS primario a la dirección IP de Purple correspondiente a tu región. La autenticación se realiza en el puerto 1812, la contabilidad en el puerto 1813. Introduces el secreto compartido proporcionado por Purple y, fundamentalmente, te aseguras de que el NAS ID coincida con la dirección MAC del Firebox o AP. Esto le indica a Purple de qué recinto procede la solicitud.

El segundo paso es la redirección del Captive Portal en sí. En la configuración del SSID, seleccionas Third-Party Hosted Captive Portal con autenticación RADIUS. Introduces la URL de la página de bienvenida de Purple y el secreto compartido del portal. Este es un secreto específico generado en el panel de control de Purple Analyze, y se utiliza para crear un resumen HMAC para validar las solicitudes de autenticación. El algoritmo HMAC-SHA1 garantiza que el mensaje de éxito de autenticación de Purple sea genuino y no haya sido alterado en tránsito.

El paso tres, y aquí es donde se complican muchas implementaciones, es el Walled Garden. Si no configura esto, el dispositivo no podrá cargar la página de bienvenida (splash page). Debe permitir el acceso a star punto mypurple punto com, api punto mypurple punto com y cdn punto mypurple punto com antes del inicio de sesión. Si utiliza inicios de sesión social como Microsoft Entra ID o Google Workspace, también debe agregar esos dominios de proveedores de identidad. Piense en el Walled Garden como la antesala de la preautenticación. Sin él, el usuario invitado ni siquiera podrá llegar a la puerta principal.

Ahora, analicemos la segmentación Multi-Tenant con WatchGuard PPSK. Si administra un centro comercial con 15 tiendas, transmitir 15 SSIDs diferentes es una mala estrategia. Esto provoca interferencia de canal adyacente, satura el espacio radioeléctrico y genera una sobrecarga de administración. PPSK resuelve esto de manera elegante. Usted transmite un solo SSID, por ejemplo, Centre-Retail. Habilita Private Pre-Shared Key en la configuración del SSID de WatchGuard, lo que requiere la versión de firmware 2.6 o superior en sus Access Points de WatchGuard. En Purple, usted crea claves únicas, una por cada tenant.

Para aislar el tráfico, se utiliza Dynamic VLAN Assignment. En WatchGuard Cloud, configure la VLAN como Dynamic VLAN assigned by RADIUS. Cuando una tienda conecta un dispositivo con su clave específica, el AP envía un Access-Request al servidor RADIUS de Purple. Purple valida la clave y devuelve un paquete Access-Accept con tres atributos RADIUS de la IETF vitales. Tunnel-Type, que es el atributo 64, establecido en VLAN. Tunnel-Medium-Type, atributo 65, establecido en 802. Y Tunnel-Private-Group-ID, atributo 81, establecido en el ID de VLAN asignado, por ejemplo, VLAN 100 para el Retail Tenant A. El AP de WatchGuard coloca entonces ese dispositivo en la VLAN 100, completamente aislado de los demás tenants. Esto es Identity-Based Networking en la práctica.

Hablemos de las recomendaciones de implementación y los errores comunes. Primero, los tiempos de espera de sesión (session timeouts). Configure tiempos de espera de sesión estrictos tanto en Purple como en WatchGuard para forzar la reautenticación. Esto mantiene la precisión de sus análisis y garantiza que las sesiones inactivas no consuman ancho de banda. Establezca sus intervalos de RADIUS Interim-Update en 10 minutos. Segundo, el firmware. Debe asegurarse de que sus Access Points de WatchGuard ejecuten la versión de firmware 2.6 o superior para ser compatibles con PPSK. Las versiones de firmware anteriores no admiten esta función. Tercero, la aleatorización de direcciones MAC. Los dispositivos modernos aleatorizan sus direcciones MAC de forma predeterminada. Para su red WiFi de personal segura, capacite a sus empleados para que desactiven esta función en ese SSID específico con el fin de garantizar una autenticación 802.1X estable. La aleatorización de MAC puede provocar fallas de autenticación y datos analíticos inconsistentes.

What happens when things go wrong? If the captive portal fails to load, check the Walled Garden first. If the device cannot resolve DNS or reach the Purple servers, it will show a timeout error rather than the splash page. If VLAN steering fails and the client receives an IP from the wrong VLAN, check the RADIUS logs in the Purple portal. Ensure the Tunnel-Private-Group-ID attribute is formatted correctly as a string and matches a VLAN that actually exists on the switch port connected to the AP. If you see HMAC digest errors in the WatchGuard logs, your Captive Portal Shared Secret does not match between WatchGuard and Purple. It must be identical in both systems, character for character.

Time for a rapid-fire Q&A. Question: Can I use PPSK and the Captive Portal on the same SSID? Answer: No. WatchGuard does not support running Dynamic VLANs via PPSK and a Captive Portal on the same SSID simultaneously. You need one SSID for the portal and a separate SSID for PPSK. Plan your SSID architecture accordingly. Question: What happens if the RADIUS server does not return a VLAN ID for a PPSK user? Answer: In WatchGuard Cloud, you configure an Unassigned Clients fallback option. You can drop them onto an untagged VLAN or a specific isolated quarantine VLAN to ensure they do not gain access to the corporate network. Always configure this fallback to avoid accidental access.

To summarise, integrating WatchGuard Firebox with Purple gives you a unified platform for security, identity, and analytics across Guest, Staff, and Multi-Tenant networks. You use external captive portal redirection for guests, 802.1X for staff, and PPSK with dynamic VLANs for multi-tenant environments. The ROI is clear. You reduce hardware costs by consolidating gateways, you simplify management through a single cloud platform, and you drive revenue by capturing first-party data through the Purple captive portal. Your next steps are to review your current SSID architecture, ensure your WatchGuard firmware is at version 2.6 or higher, and begin configuring your RADIUS settings in the Purple portal. Thank you for listening.

Puntos clave

✓WatchGuard Firebox se integra con Purple a través de RADIUS estándar (puertos 1812/1813) y redirección de Captive Portal HTTP, admitiendo Guest WiFi, Staff WiFi y WiFi multi-inquilino desde una sola flota de AP.
✓El Captive Portal de Guest WiFi requiere una URL de Splash Page, un Shared Secret (para validación HMAC-SHA1) y entradas de Walled Garden para los dominios de Purple; la falta de cualquiera de estos elementos hace que el portal falle.
✓Staff WiFi utiliza IEEE 802.1X (EAP-TLS o PEAP) con Purple como servidor RADIUS, el cual puede realizar un proxy de autenticación hacia Microsoft Entra ID, Okta o Google Workspace para la gestión del ciclo de vida de la identidad.
✓WatchGuard PPSK (firmware v2.6+) habilita la segmentación multi-inquilino en un solo SSID: cada inquilino recibe una clave única y el servidor RADIUS de Purple devuelve atributos VLAN (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) para aislar su tráfico.
✓El direccionamiento dinámico de VLAN y el Captive Portal no pueden ejecutarse en el mismo SSID en WatchGuard; planifique su arquitectura de SSID con SSIDs separados para el portal de invitados y el acceso multi-inquilino PPSK.
✓Configure siempre una VLAN de cuarentena de respaldo para clientes PPSK no asignados para evitar que los dispositivos que fallen en la validación de RADIUS terminen en la VLAN de administración.
✓Purple cuenta con las certificaciones ISO 27001, GDPR, CCPA y Cyber Essentials, y mantiene un tiempo de actividad del 99.999%: la plataforma gestiona los requisitos de cumplimiento y disponibilidad para despliegues en recintos empresariales.

এক্সিকিউটিভ সামারি

জটিল ভেন্যু জুড়ে একটি সুরক্ষিত, স্কেলযোগ্য ওয়্যারলেস অবকাঠামো স্থাপন করার জন্য আপনার সিকিউরিটি গেটওয়ে এবং আইডেন্টিটি প্রোভাইডারের মধ্যে সুনির্দিষ্ট ইন্টিগ্রেশন প্রয়োজন। এই গাইডটিতে WatchGuard Firebox এবং WatchGuard Access Points-এর সাথে Purple-এর ইন্টিগ্রেশনের বিস্তারিত বিবরণ দেওয়া হয়েছে, যা তিনটি ভিন্ন অ্যাক্সেস টিয়ার কভার করে: Guest WiFi Captive Portal রিডাইরেকশন, IEEE 802.1X ব্যবহার করে Secure Staff WiFi, এবং WatchGuard Private Pre-Shared Keys (PPSK)-এর মাধ্যমে Multi-Tenant WiFi সেগমেন্টেশন।

WatchGuard-এর ইউনিফাইড সিকিউরিটি প্ল্যাটফর্মের সাথে Purple-এর ক্লাউড ওভারলে একত্রিত করে, আপনি আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল স্বয়ংক্রিয় করতে পারেন, গ্র্যানুলার সিকিউরিটি পলিসি প্রয়োগ করতে পারেন এবং স্কেলে ফার্স্ট-পার্টি ডেটা সংগ্রহ করতে পারেন। Purple ৮০,০০০+-এরও বেশি লাইভ ভেন্যু জুড়ে কাজ করে এবং ২০২৪ সালে ৪৪০ মিলিয়ন লগইন প্রসেস করেছে (Purple-এর অভ্যন্তরীণ ডেটা)। এই ইন্টিগ্রেশনটি ডিজাইনগতভাবেই হার্ডওয়্যার-অ্যাগনস্টিক - Purple-এর সমর্থিত হার্ডওয়্যারের তালিকায় WatchGuard-এর পাশাপাশি Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme এবং Fortinet রয়েছে। এন্টারপ্রাইজ WiFi সিকিউরিটি স্ট্যান্ডার্ডের আরও বিস্তৃত ধারণার জন্য, আমাদের Enterprise WiFi Security: A Complete Guide for 2026 দেখুন।

টেকনিক্যাল আর্কিটেকচার

এই ইন্টিগ্রেশনটি দুটি স্ট্যান্ডার্ড মেকানিজম ব্যবহার করে WatchGuard হার্ডওয়্যারকে Purple-এর ক্লাউড সার্ভিসের সাথে সংযুক্ত করে: অথেন্টিকেশন এবং অ্যাকাউন্টিংয়ের জন্য RADIUS (Remote Authentication Dial-In User Service), এবং Captive Portal ডেলিভারির জন্য HTTP রিডাইরেকশন। এই আর্কিটেকচারটি একটি একক ফিজিক্যাল অবকাঠামোতে তিনটি অ্যাক্সেস টিয়ার সমর্থন করে।

অ্যাক্সেস টিয়ার	SSID টাইপ	অথেন্টিকেশন পদ্ধতি	Purple-এর ভূমিকা
Guest WiFi	Open	এক্সটার্নাল Captive Portal + RADIUS অ্যাকাউন্টিং	স্প্ল্যাশ পেজ, ডেটা ক্যাপচার, অ্যানালিটিক্স
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS বা PEAP)	RADIUS সার্ভার, আইডেন্টিটি প্রোভাইডার প্রক্সি
Multi-Tenant WiFi	WPA2/WPA3 Personal + PPSK	RADIUS-এর মাধ্যমে যাচাইকৃত PPSK	কি ম্যানেজমেন্ট, ডাইনামিক VLAN অ্যাসাইনমেন্ট

তিনটি টিয়ারই একই WatchGuard Access Point ফ্লিট জুড়ে একসাথে চলতে পারে। WatchGuard Wi-Fi 6 মডেলগুলো - AP130, AP230W, AP330, AP332CR, AP430CR এবং AP432 - ফার্মওয়্যার v2.6 থেকে পরবর্তী সংস্করণগুলোতে PPSK সমর্থন করে।

Guest WiFi Captive Portal রিডাইরেকশন কনফিগার করা

WatchGuard Captive Portal ইন্টিগ্রেশনটি অথেন্টিকেট না করা HTTP রিকোয়েস্টগুলোকে Purple-এর হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে। ফার্স্ট-পার্টি ডেটা সংগ্রহ এবং টার্মস অফ সার্ভিস প্রয়োগ করার জন্য এটি প্রাথমিক মেকানিজম।

ধাপ ১: RADIUS সার্ভার কনফিগারেশন

WatchGuard Cloud বা Firebox Policy Manager-এ, Purple-কে RADIUS অথেন্টিকেশন এবং অ্যাকাউন্টিং সার্ভার হিসেবে ডিফাইন করুন।- Primary RADIUS server: আপনার অঞ্চলের জন্য Purple RADIUS IP ঠিকানায় সেট করুন (এটি Purple পোর্টালে Settings > Hardware Integration-এর অধীনে পাওয়া যাবে)।

Authentication port: 1812
Accounting port: 1813
Shared secret: Purple পোর্টালে প্রদত্ত ইউনিক সিক্রেটটি লিখুন।
NAS ID: %m ফরম্যাট স্পেসিফায়ার ব্যবহার করে এটিকে Firebox বা AP-এর MAC ঠিকানায় সেট করুন। এটি Purple-এর কাছে ভেন্যুটি সনাক্ত করে এবং সঠিক অ্যাকাউন্টে অ্যানালিটিক্স পাঠায়।
Accounting interval: সেশন ডেটা যাতে নিয়মিত বিরতিতে Purple-এর অ্যানালিটিক্স ড্যাশবোর্ডে পৌঁছায় তা নিশ্চিত করতে এটি 10 মিনিটে সেট করুন।

ধাপ ২: SSID এবং Captive Portal সেটিংস

WatchGuard Cloud-এ, Configure > Devices > [Your AP] > Device Configuration > SSIDs-এ যান। গেস্ট SSID তৈরি বা এডিট করুন।

Security: Open (কোনো প্রি-অথেন্টিকেশন পাসওয়ার্ড লাগবে না)।
Captive portal type: Third-Party Hosted Captive Portal with RADIUS Authentication নির্বাচন করুন।
Splash Page URL: Purple স্প্ল্যাশ পেজের URL লিখুন (যেমন, https://wifi.mypurple.com/splash)। এটি Purple > Analyze > Portals থেকে সংগ্রহ করুন।
Shared secret: একই Purple Analyze Portals পেজ থেকে পোর্টাল শেয়ার্ড সিক্রেটটি লিখুন। এই সিক্রেটটি HMAC-SHA1 ডাইজেস্ট তৈরি করে যা WatchGuard ব্যবহার করে Purple থেকে আসা সফল অথেন্টিকেশন রেসপন্স যাচাই করতে।

ধাপ ৩: Walled Garden কনফিগারেশন

অথেন্টিকেশন সম্পন্ন হওয়ার আগে একটি ডিভাইস কোন ডোমেনগুলো অ্যাক্সেস করতে পারবে তা Walled Garden নির্ধারণ করে। এটি ছাড়া, ডিভাইসটি Purple স্প্ল্যাশ পেজ লোড করতে পারবে না। Websites that users can access before login-এ নিচের এন্ট্রিগুলো যোগ করুন:

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

আপনি যদি Microsoft Entra ID, Okta, বা Google Workspace-এর মাধ্যমে সোশ্যাল বা ফেডারেল লগইন সক্ষম করেন, তবে সংশ্লিষ্ট আইডেন্টিটি প্রোভাইডার ডোমেনগুলো যোগ করুন (যেমন, login.microsoftonline.com, accounts.google.com)। শেয়ারড WiFi অবকাঠামোর আইনি এবং কমপ্লায়েন্স সংক্রান্ত প্রসঙ্গের জন্য, আমাদের শেয়ারড WiFi অবকাঠামোর জন্য আইনি এবং কমপ্লায়েন্সের প্রয়োজনীয়তা গাইডটি দেখুন।

HMAC অথেন্টিকেশন ফ্লো যেভাবে কাজ করে

এই ফ্লোটি বুঝতে পারলে আপনি যেকোনো ত্রুটি দ্রুত সনাক্ত করতে পারবেন।

গেস্ট ডিভাইসটি ওপেন SSID-এর সাথে সংযুক্ত হয় এবং একটি HTTP রিকোয়েস্ট পাঠায়।
WatchGuard AP রিকোয়েস্টটি ইন্টারসেপ্ট করে এবং ব্রাউজারটিকে Purple স্প্ল্যাশ পেজের URL-এ রিডাইরেক্ট করে, সাথে একটি challenge প্যারামিটার (একটি র্যান্ডম হেক্স স্ট্রিং) এবং ডিভাইসের MAC ঠিকানা যুক্ত করে দেয়।
Purple স্প্ল্যাশ পেজটি প্রদর্শন করে। গেস্ট ব্যবহারকারী লগইন ফর্মটি পূরণ করেন।
Purple পোর্টাল শেয়ার্ড সিক্রেট এবং চ্যালেঞ্জ ভ্যালু ব্যবহার করে একটি HMAC-SHA1 ডাইজেস্ট তৈরি করে।
Purple ব্রাউজারটিকে আবার WatchGuard AP-এর লগইন URL-এ রিডাইরেক্ট করে, সাথে চ্যালেঞ্জ এবং ডাইজেস্ট যুক্ত করে দেয়।
WatchGuard AP একই শেয়ার্ড সিক্রেট ব্যবহার করে ডাইজেস্টটি যাচাই করে। যদি এটি মিলে যায়, তবে AP ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় এবং Purple-এ একটি RADIUS Accounting Start প্যাকেট পাঠায়।

802.1X-এর মাধ্যমে সুরক্ষিত স্টাফ WiFiস্টাফ WiFi-এর জন্য, আপনি captive portal-কে IEEE 802.1X — পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের এন্টারপ্রাইজ স্ট্যান্ডার্ড — দিয়ে প্রতিস্থাপন করবেন। প্রতিটি স্টাফ মেম্বার ইউনিক ক্রেডেনশিয়াল বা সার্টিফিকেটের মাধ্যমে অথেন্টিকেট করেন, যা শেয়ার্ড-পাসওয়ার্ডের ঝুঁকি দূর করে।

WatchGuard Cloud-এ, স্টাফ SSID-টি WPA3 Enterprise সিকিউরিটি দিয়ে কনফিগার করুন এবং Authentication Domain-টিকে Purple-এর RADIUS সার্ভারে পয়েন্ট করুন। Purple RADIUS সার্ভার হিসেবে কাজ করে এবং SAML বা LDAP-এর মাধ্যমে Microsoft Entra ID, Okta, বা Google Workspace-এ অথেন্টিকেশন রিকোয়েস্ট প্রক্সি করতে পারে।

সার্টিফিকেট-ভিত্তিক অথেন্টিকেশনের (EAP-TLS) জন্য, আপনার MDM-এর মাধ্যমে ম্যানেজড ডিভাইসগুলোতে ক্লায়েন্ট সার্টিফিকেট ডেপ্লয় করুন। ক্রেডেনশিয়াল-ভিত্তিক অথেন্টিকেশনের (PEAP-MSCHAPv2) জন্য, ব্যবহারকারীরা তাদের ডিরেক্টরি ক্রেডেনশিয়াল দিয়ে অথেন্টিকেট করেন। Purple কনফিগার করা আইডেন্টিটি প্রোভাইডারের বিপরীতে রিকোয়েস্টটি যাচাই করে এবং WatchGuard AP-তে একটি RADIUS Access-Accept বা Access-Reject রিটার্ন করে।

বিভিন্ন ধরনের ডিভাইসে 802.1X কনফিগারেশনের বিস্তারিত নির্দেশিকার জন্য, 802.1X অথেন্টিকেশন: আধুনিক ডিভাইসে নেটওয়ার্ক অ্যাক্সেস সুরক্ষিত করা সংক্রান্ত আমাদের গাইডটি দেখুন।

MAC র্যান্ডমাইজেশন সংক্রান্ত গুরুত্বপূর্ণ নোট: আধুনিক iOS এবং Android ডিভাইসগুলো ডিফল্টরূপে তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। 802.1X স্টাফ WiFi-এর জন্য, স্টাফদের স্টাফ SSID-এর জন্য MAC র্যান্ডমাইজেশন নিষ্ক্রিয় করতে নির্দেশ দিন। র্যান্ডমাইজড MAC-এর কারণে অসঙ্গতিপূর্ণ অথেন্টিকেশন লগ তৈরি হয় এবং MAC-ভিত্তিক পলিসি প্রয়োগ ব্যাহত হয়।

WatchGuard PPSK-এর সাহায্যে মাল্টি-টেন্যান্ট WiFi

একটি রিটেইল সেন্টার, কোওয়ার্কিং স্পেস বা বিল্ড-টু-রেন্ট (BTR) ডেভেলপমেন্টে প্রতি টেন্যান্টের জন্য আলাদা SSID ব্রডকাস্ট করলে কো-চ্যানেল ইন্টারফারেন্স ঘটে এবং RF এনভায়রনমেন্ট বিশৃঙ্খল হয়। WatchGuard PPSK (Private Pre-Shared Key) — যা AP ফার্মওয়্যার v2.6-এ চালু করা হয়েছে — একটি একক SSID-তে প্রতিটি ব্যবহারকারী বা টেন্যান্টকে একটি ইউনিক পাসওয়ার্ড অ্যাসাইন করে এই সমস্যার সমাধান করে।

ধাপ ১: SSID-তে PPSK সক্ষম করুন

WatchGuard Cloud-এ, টার্গেট SSID (যেমন, Venue-WiFi) এডিট করুন।

Security: WPA2 Personal বা WPA3 Personal।
Authentication: Private Pre-Shared Key (PPSK) সক্ষম করুন।
RADIUS server: Purple-এর RADIUS সার্ভারে পয়েন্ট করুন। Purple PPSK ক্রেডেনশিয়াল স্টোর পরিচালনা করে এবং অথেন্টিকেশনের সময় VLAN অ্যাট্রিবিউট রিটার্ন করে।

ধাপ ২: ডাইনামিক VLAN অ্যাসাইনমেন্ট কনফিগার করুন

টেন্যান্ট ট্রাফিক আলাদা করতে, WatchGuard AP ব্যবহৃত PPSK-এর ওপর ভিত্তি করে একটি নির্দিষ্ট VLAN অ্যাসাইন করে।

VLAN setting: Dynamic VLAN assigned by RADIUS নির্বাচন করুন।
Unassigned clients fallback: একটি আইসোলেটেড কোয়ারেন্টাইন VLAN (যেমন, VLAN 999) নির্বাচন করুন যাতে RADIUS ভ্যালিডেশনে ব্যর্থ হওয়া ডিভাইসগুলো কর্পোরেট নেটওয়ার্কে অ্যাক্সেস করতে না পারে।

WatchGuard অ্যাক্সেস পয়েন্টে ডাইনামিক VLAN-এর জন্য প্রয়োজনীয়তা:

AP ফার্মওয়্যার v2.2 বা তার বেশি।
SSID-তে NAT অবশ্যই নিষ্ক্রিয় থাকতে হবে।
ডাইনামিক VLAN এবং Captive Portal একই SSID-তে একসাথে চালানো যাবে না।- AP-এর সাথে সংযুক্ত সুইচ পোর্টটি অবশ্যই সমস্ত প্রাসঙ্গিক VLAN বহনকারী একটি ট্রাঙ্ক পোর্ট হিসেবে কনফিগার করতে হবে।

Step 3: VLAN স্টিয়ারিংয়ের জন্য RADIUS অ্যাট্রিবিউটসমূহ

যখন কোনো ব্যবহারকারী PPSK ব্যবহার করে সংযোগ স্থাপন করেন, তখন WatchGuard AP Purple-এ একটি RADIUS Access-Request পাঠায়। Purple কী (key) যাচাই করে এবং তিনটি IETF RADIUS অ্যাট্রিবিউট ধারণকারী একটি Access-Accept প্যাকেট ফেরত পাঠায়:

RADIUS অ্যাট্রিবিউট	অ্যাট্রিবিউট নম্বর	মান
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	VLAN ID (যেমন, "100")

WatchGuard AP অ্যাট্রিবিউট ৮১ পড়ে এবং ক্লায়েন্টকে সংশ্লিষ্ট VLAN-এ স্থাপন করে। Purple-এ, আপনি প্রতিটি PPSK ক্রেডেনশিয়ালকে একটি নির্দিষ্ট VLAN ID এবং রোলের সাথে ম্যাপ করেন। এটিই হলো আইডেন্টিটি-ভিত্তিক নেটওয়ার্কের (Identity-Based Networks) পেছনের প্রক্রিয়া - ক্রেডেনশিয়ালটি নেটওয়ার্ক সেগমেন্ট নির্ধারণ করে, SSID নয়।

বাস্তবায়নের সর্বোত্তম অনুশীলনসমূহ

এই সুপারিশগুলো হসপিটালিটি , রিটেইল , হেলথকেয়ার , এবং পরিবহন ডেপ্লয়মেন্টের ক্ষেত্রে প্রযোজ্য।

সেশন টাইমআউট: নির্দিষ্ট সময় পর পর পুনরায় প্রমাণীকরণ করতে বাধ্য করার জন্য Purple এবং WatchGuard উভয় ক্ষেত্রেই সেশন টাইমআউট কনফিগার করুন। এটি অ্যানালিটিক্স সঠিক রাখে এবং নিষ্ক্রিয় সেশনগুলোকে ব্যান্ডউইথ ব্যবহার করা থেকে বিরত রাখে। RADIUS Interim-Update (Acct-Interim-Interval) কে ৬০০ সেকেন্ড (১০ মিনিট) সেট করুন।

ফার্মওয়্যার ম্যানেজমেন্ট: PPSK সমর্থনের জন্য WatchGuard অ্যাক্সেস পয়েন্টগুলোতে ফার্মওয়্যার v2.6 বা তার বেশি সংস্করণ চলমান থাকা নিশ্চিত করুন। কভারেজের ঘাটতি এড়াতে অফ-পিক আওয়ারে ফার্মওয়্যার আপগ্রেডের সময়সূচী নির্ধারণ করতে WatchGuard Cloud ব্যবহার করুন।

PCI DSS কমপ্লায়েন্স: কার্ড পেমেন্ট প্রসেস করে এমন রিটেইল পরিবেশের জন্য, PPSK ব্যবহার করে একটি ডেডিকেটেড VLAN-এ (যেমন, VLAN 200) POS ডিভাইসগুলোকে আলাদা করুন। নিশ্চিত করুন যে Guest WiFi VLAN-এর সাথে POS VLAN-এর কোনো রাউট (route) নেই। এটি PCI DSS নেটওয়ার্ক সেগমেন্টেশনের প্রয়োজনীয়তাগুলোকে সমর্থন করে।

GDPR এবং ডেটা সংগ্রহ: Purple-এর captive portal সচেতন-পছন্দের অপ্ট-ইন ব্যবহার করে, যা নিশ্চিত করে যে ডেটা সংগ্রহ GDPR-এর প্রয়োজনীয়তা পূরণ করে। Purple হলো ISO 27001, GDPR, CCPA এবং Cyber Essentials সার্টিফাইড। ডেটা সংগ্রহ শুরু করার আগে আপনার স্প্ল্যাশ পেজে একটি স্পষ্ট গোপনীয়তা বিজ্ঞপ্তি এবং পরিষেবার শর্তাবলীর লিঙ্ক অন্তর্ভুক্ত করা নিশ্চিত করুন।

সমস্যা সমাধান এবং ঝুঁকি হ্রাসকরণ

Captive portal লোড হতে ব্যর্থ হলে: প্রথমে ওয়াল্ড গার্ডেন (Walled Garden) পরীক্ষা করতে হবে। ডিভাইসটি যদি DNS সমাধান করতে না পারে বা প্রি-অথেন্টিকেশন অবস্থায় Purple-এর সার্ভারে পৌঁছাতে না পারে, তবে ব্রাউজারটি স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট ত্রুটি দেখায়। সমস্ত Purple ডোমেন ওয়াল্ড গার্ডেন তালিকায় রয়েছে কিনা এবং WatchGuard DNS সেটিংস প্রি-অথ রেজোলিউশন অনুমোদন করে কিনা তা যাচাই করুন।

HMAC ডাইজেস্ট ভ্যালিডেশন ত্রুটি: যদি WatchGuard লগগুলোতে HMAC ত্রুটিসহ প্রমাণীকরণ ব্যর্থতা দেখায়, তবে WatchGuard এবং Purple-এর মধ্যে Captive Portal Shared Secret মিলছে না। এটি উভয় সিস্টেমে অভিন্ন হতে হবে। Purple-এ সিক্রেটটি পুনরায় তৈরি করুন এবং WatchGuard Cloud-এ এটি পুনরায় প্রবেশ করান।VLAN স্টিয়ারিং ব্যর্থতা: যদি কোনো PPSK ব্যবহারকারী ভুল VLAN থেকে একটি IP পান, তবে Purple পোর্টালের RADIUS লগগুলি পরীক্ষা করুন। যাচাই করুন যে Purple তিনটি IETF RADIUS অ্যাট্রিবিউটই ফেরত পাঠাচ্ছে। নিশ্চিত করুন যে Tunnel-Private-Group-ID মানটি একটি স্ট্রিং হিসেবে ফরম্যাট করা হয়েছে এবং সুইচ ট্রাঙ্ক পোর্টে কনফিগার করা একটি VLAN ID-এর সাথে মিলছে।

PPSK এবং Captive Portal দ্বন্দ্ব: WatchGuard একই SSID-এ ডাইনামিক VLAN এবং Captive Portal সমর্থন করে না। আপনার যদি উভয়ই প্রয়োজন হয়, তবে দুটি SSID ব্যবহার করুন: একটি গেস্ট Captive Portal-এর জন্য এবং অন্যটি PPSK মাল্টি-টেন্যান্ট অ্যাক্সেসের জন্য।

802.1X প্রমাণীকরণ ব্যর্থতা: AP এবং RADIUS সার্ভারের মধ্যকার ট্রাফিক ক্যাপচার করতে WatchGuard AP ফার্মওয়্যার v2.5 এবং তার উচ্চতর সংস্করণে উপলব্ধ প্যাকেট ক্যাপচার টুলটি ব্যবহার করুন। RADIUS Access-Reject প্যাকেট এবং রিপ্লাই মেসেজ অ্যাট্রিবিউটে থাকা কারণের কোডটি খুঁজুন।

ROI এবং ব্যবসায়িক প্রভাব

WatchGuard এবং Purple ইন্টিগ্রেশন নিরাপত্তা এবং অ্যানালিটিক্সকে একটি একক আর্কিটেকচারে একত্রিত করে। এই ইন্টিগ্রেশন ব্যবহার করে একটি ২০০ কক্ষবিশিষ্ট হোটেল পৃথক গেস্ট এবং স্টাফ গেটওয়ের প্রয়োজনীয়তা দূর করে, যা একটি মাল্টি-গেটওয়ে স্থাপনার তুলনায় হার্ডওয়্যার খরচ প্রায় ৩০% কমিয়ে দেয় (Purple-এর অভ্যন্তরীণ ডেটা)। গেস্ট WiFi Captive Portal ফার্স্ট-পার্টি ডেটা সংগ্রহ করে—যেমন ইমেল ঠিকানা, ডেমোগ্রাফিক তথ্য এবং পরিদর্শনের ফ্রিকোয়েন্সি—যা Purple-এর Engage প্ল্যানের মাধ্যমে সরাসরি মার্কেটিং রাজস্ব বৃদ্ধি করে।

মাল্টি-টেন্যান্ট ভেন্যুগুলোর জন্য, PPSK একাধিক SSID পরিচালনার অপারেশনাল ওভারহেড দূর করে। একটি একক SSID-এ ১৫টি দোকান ইউনিট পরিচালনা করা একটি রিটেইল সেন্টার AP রেডিও ব্যবহার হ্রাস করে এবং নেটওয়ার্ক অডিট সহজ করে। Purple থেকে প্রাপ্ত WiFi অ্যানালিটিক্স ভেন্যু অপারেটরদের ডওয়েল টাইম, ফুটফল এবং বারবার পরিদর্শনের ডেটা সরবরাহ করে—এমন সব মেট্রিক্স যা ফাইন্যান্স টিমগুলোর কাছে অবকাঠামোগত বিনিয়োগের যৌক্তিকতা প্রমাণ করে।

Purple ৯৯.৯৯৯% আপটাইম বজায় রাখে (Purple-এর অভ্যন্তরীণ ডেটা), যা স্টেডিয়াম এবং কনফারেন্স সেন্টারের মতো উচ্চ-ঘনত্বের ভেন্যুগুলোতে ব্যস্ততম সময়েও গেস্ট WiFi Captive Portal সচল থাকা নিশ্চিত করে।

Definiciones clave

PPSK (Clave privada compartida previamente)

Una función de seguridad que asigna una contraseña única a cada usuario o dispositivo en un SSID personal WPA2/WPA3. Introducida en el firmware v2.6 de los AP de WatchGuard.

Se utiliza en entornos multiinquilino (centros comerciales, espacios de coworking, desarrollos BTR) para segmentar a los usuarios sin requerir la configuración del suplicante 802.1X en los dispositivos cliente.

Direccionamiento dinámico de VLAN

El proceso de asignar un dispositivo de red a una VLAN específica en función de los atributos de RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) devueltos durante la autenticación.

El mecanismo que aísla el tráfico de inquilinos, personal y huéspedes en el mismo punto de acceso físico. Requiere firmware de AP v2.2 o superior en el hardware de WatchGuard.

Walled Garden

Una lista de direcciones IP o dominios a los que un usuario no autenticado tiene permitido acceder antes de completar la autenticación del Captive Portal.

Requerido para permitir que los dispositivos de los huéspedes carguen la página de bienvenida de Purple y completen los inicios de sesión federados (Microsoft Entra ID, Google Workspace) antes de que se conceda el acceso total a Internet.

Resumen HMAC

Un hash criptográfico (HMAC-SHA1) utilizado para verificar la integridad y autenticidad del mensaje de éxito de autenticación proveniente del Captive Portal.

WatchGuard valida el resumen HMAC utilizando el secreto compartido del Captive Portal. Una discrepancia entre el secreto en WatchGuard y Purple provoca fallas de autenticación.

Contabilidad RADIUS

El componente del protocolo RADIUS que realiza el seguimiento del uso de la red, incluyendo el inicio de la sesión, la duración de la misma y el volumen de transferencia de datos.

Purple depende de los paquetes de contabilidad RADIUS del WatchGuard Firebox para alimentar el panel de analíticas y aplicar los límites de tiempo de sesión. Opera en el puerto 1813.

Captive portal

Una página web a la que se redirige un dispositivo antes de que se le conceda acceso a una red pública. WatchGuard intercepta las solicitudes HTTP y las redirige a la URL del portal externo configurado.

El mecanismo principal para capturar datos de origen y aplicar los términos de servicio en redes WiFi de huéspedes. Purple aloja la página de bienvenida y gestiona los datos.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Requiere que cada dispositivo se autentique con credenciales únicas o un certificado antes de que se conceda el acceso a la red.

El estándar empresarial para proteger la red WiFi del personal. Elimina el riesgo de contraseña compartida de WPA2 Personal. Requiere un servidor RADIUS (Purple) y un suplicante en el dispositivo cliente.

EAP-TLS (Protocolo de autenticación extensible - Seguridad de la capa de transporte)

Un método de autenticación 802.1X altamente seguro que requiere tanto un certificado de cliente como un certificado de servidor para la autenticación mutua.

Utilizado en entornos de alta seguridad donde los dispositivos son administrados por un MDM. Garantiza que solo los dispositivos propiedad de la empresa con certificados válidos puedan conectarse al SSID de la red WiFi del personal.

NAS ID (Identificador de servidor de acceso a la red)

Una cadena enviada en paquetes RADIUS que identifica el dispositivo de red (AP o Firebox) que realiza la solicitud de autenticación.

Purple utiliza el NAS ID para identificar el lugar de origen de una solicitud RADIUS. Generalmente se establece con la dirección MAC del AP utilizando el especificador de formato %m en WatchGuard.

Redes basadas en la identidad

Una arquitectura de red donde las políticas de acceso, las asignaciones de VLAN y los controles de seguridad se determinan por la identidad del usuario en lugar de su puerto físico o SSID.

La combinación de PPSK de WatchGuard, RADIUS de Purple y el direccionamiento dinámico de VLAN ofrece redes basadas en la identidad: la credencial determina el segmento de red de forma automática.

Ejemplos resueltos

¿Una propiedad de Premier Inn de 200 habitaciones necesita proporcionar Guest WiFi para los huéspedes, Staff WiFi seguro para los equipos de recepción y administración, y una red independiente para dispositivos IoT (smart TVs, cerraduras inteligentes). Tienen puntos de acceso WatchGuard AP330 administrados a través de WatchGuard Cloud y un gateway Firebox T85. ¿Cómo deberían diseñar la arquitectura de las tres redes?

Despliegue tres SSIDs en la flota de WatchGuard AP330. SSID 1: "Premier-Guest": un SSID abierto con redirección a un Captive Portal externo de Purple. Configure el Firebox T85 como el cliente RADIUS apuntando a los servidores de Purple (puerto 1812/1813). Agregue los dominios del Walled Garden de Purple. Los huéspedes se autentican a través de la página de inicio de Purple usando correo electrónico, inicio de sesión social o un código de habitación. SSID 2: "Premier-Staff": un SSID WPA3-Enterprise con autenticación 802.1X. Apunte el dominio de autenticación al servidor RADIUS de Purple, el cual actúa como proxy de las credenciales hacia el tenant de Microsoft Entra ID de la propiedad. El personal se autentica con sus credenciales corporativas. SSID 3: "Premier-IoT": un SSID WPA2 Personal con una PSK estática, colocado en una VLAN dedicada (por ejemplo, VLAN 50) con reglas de firewall que bloquean el acceso a las VLANs de personal y huéspedes. El Firebox T85 aplica las políticas de enrutamiento inter-VLAN. Los tres SSIDs se transmiten en el mismo hardware de AP, lo que reduce los costos de infraestructura.

Comentario del examinador: Esta arquitectura sigue el principio de privilegio mínimo. Cada nivel de acceso tiene el acceso a la red mínimo requerido para su función. El SSID de IoT utiliza una PSK estática en lugar de PPSK porque los dispositivos IoT normalmente no pueden manejar la rotación dinámica de credenciales. La decisión clave es utilizar Purple como el servidor RADIUS tanto para el nivel de huéspedes como para el de personal, lo que centraliza la gestión de identidad y la analítica en una sola plataforma.

Un centro comercial que administra 12 locales comerciales desea proporcionar a cada inquilino acceso WiFi aislado utilizando un único SSID. El centro también debe garantizar que una credencial de inquilino comprometida no exponga el tráfico de los demás inquilinos. Están utilizando puntos de acceso WatchGuard AP230W con la versión de firmware 2.6.

Configure un SSID: "Centre-Retail" con WPA2 Personal y PPSK habilitado. En Purple, cree 12 credenciales PPSK únicas, una por inquilino. Asocie cada credencial a una VLAN dedicada (por ejemplo, VLAN 101 para el Inquilino 1, VLAN 102 para el Inquilino 2, y así sucesivamente). En WatchGuard Cloud, configure la VLAN del SSID como "Dynamic VLAN assigned by RADIUS" con una VLAN de contingencia para cuarentena (VLAN 999). Configure los puertos del switch conectados al AP230W como puertos troncales que transporten las VLANs 101-112 y 999. Cuando el dispositivo de un inquilino se conecta usando su PPSK, el AP consulta al RADIUS de Purple, recibe el atributo Tunnel-Private-Group-ID y coloca al dispositivo en la VLAN correcta. Una credencial comprometida para el Inquilino 3 solo expone la VLAN 103; todos los demás inquilinos permanecen aislados.

Comentario del examinador: PPSK proporciona aislamiento por credencial sin la complejidad de la gestión de certificados 802.1X. La decisión de diseño crítica es la VLAN de contingencia. Sin una VLAN de cuarentena configurada, un dispositivo que falle la validación RADIUS podría colocarse en la VLAN no etiquetada por defecto, obteniendo potencialmente acceso a la infraestructura de gestión. Siempre configure la contingencia de forma explícita.

Preguntas de práctica

Q1. Un gerente de TI de un hotel informa que los huéspedes se conectan al WiFi pero la splash page de Purple nunca aparece. El navegador muestra un error de tiempo de espera de conexión. La configuración de WatchGuard Cloud muestra la URL de la splash page de Purple y el secreto compartido correctos. ¿Cuál es la causa más probable y cómo se resuelve?

Sugerencia: Considere lo que debe suceder antes de que el dispositivo sea autenticado. ¿A qué dominios necesita acceder el dispositivo para cargar la página de inicio (splash page)?

Ver respuesta modelo

El Walled Garden no está configurado o está incompleto. El WatchGuard Firebox está bloqueando la solicitud HTTP inicial del dispositivo a los servidores de Purple antes de que se complete la autenticación. Agregue los dominios de Purple requeridos a la lista de 'Sitios web a los que los usuarios pueden acceder antes de iniciar sesión': *.mypurple.com, api.mypurple.com y cdn.mypurple.com. Si los huéspedes utilizan inicios de sesión sociales, agregue también los dominios de los proveedores de identidad correspondientes (por ejemplo, login.microsoftonline.com para Entra ID).

Q2. Está configurando el direccionamiento de VLAN basado en PPSK para un espacio de coworking con 8 miembros. La autenticación RADIUS es exitosa (los registros de WatchGuard muestran Access-Accept), pero el dispositivo de cada miembro recibe una dirección IP de la VLAN 1 (la VLAN de administración predeterminada) en lugar de su VLAN de inquilino asignada. ¿Cómo diagnostica y resuelve esto?

Sugerencia: La autenticación fue exitosa, por lo que la credencial es válida. El problema está en el paso de asignación de VLAN. ¿Qué necesita WatchGuard del servidor RADIUS para asignar una VLAN?

Ver respuesta modelo

El paquete RADIUS Access-Accept de Purple no contiene o tiene un formato incorrecto de los atributos de VLAN. Capture el tráfico RADIUS en el AP utilizando la herramienta de captura de paquetes de WatchGuard e inspeccione el paquete Access-Accept. Verifique que Purple esté devolviendo los tres atributos IETF: Tunnel-Type (atributo 64, valor 13), Tunnel-Medium-Type (atributo 65, valor 6) y Tunnel-Private-Group-ID (atributo 81, configurado con el ID de la VLAN como una cadena de texto, por ejemplo, '101'). También confirme que el puerto del switch conectado al AP esté configurado como un puerto troncal (trunk) que transporte las VLAN correspondientes, y que la configuración de la VLAN del SSID en WatchGuard Cloud esté establecida en 'VLAN dinámica asignada por RADIUS' en lugar de un ID de VLAN estático.

Q3. El operador de un establecimiento desea ejecutar un Captive Portal de WiFi para invitados (splash page de Purple) y una red PPSK multi-inquilino para 6 locales comerciales en el mismo punto de acceso WatchGuard AP330. Planean configurar ambas funciones en un solo SSID para simplificar el entorno de radiofrecuencia (RF). ¿Es esto posible? Si no, ¿cuál es la arquitectura correcta?

Sugerencia: Revise los requisitos de VLAN dinámica de WatchGuard. ¿Existe algún conflicto de funciones?

Ver respuesta modelo

Esto no es posible en un solo SSID. WatchGuard no admite VLAN dinámicas (requeridas para PPSK) y Captive Portal en el mismo SSID de forma simultánea. La arquitectura correcta utiliza dos SSIDs: el SSID 1 ('Venue-Guest') configurado como un SSID abierto con redirección de Captive Portal externo a Purple para los invitados públicos. El SSID 2 ('Venue-Retail') configurado con WPA2 Personal, PPSK habilitado y asignación de VLAN dinámica para los 6 inquilinos comerciales. Ambos SSIDs se transmiten desde el mismo hardware AP330, por lo que el impacto de RF se limita a una baliza (beacon) de SSID adicional. El puerto del switch conectado al AP debe ser un puerto troncal (trunk) que transporte todas las VLAN correspondientes para ambos SSIDs.

Continúe leyendo esta serie

Integración de Cisco WLC y Catalyst con Purple WiFi: Guía de acceso de invitados paso a paso

Esta guía autorizada detalla paso a paso la integración de los WLC Cisco Catalyst 9800 con Purple WiFi. Cubre la External Web Authentication para Captive Portals de invitados, 802.1X EAP-TLS para el acceso seguro del personal e iPSK de Cisco para la segmentación dinámica de VLAN multi-inquilino.

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.