Integración de routers DrayTek Vigor y puntos de acceso con Purple WiFi

Esta guía proporciona instrucciones técnicas paso a paso para integrar los routers DrayTek Vigor y los puntos de acceso VigorAP con la plataforma en la nube de Purple. Cubre la configuración del Captive Portal de DrayTek para WiFi de invitados, la autenticación 802.1X para un WiFi de personal seguro, la configuración de Walled Garden y la configuración de PSK múltiple (PPSK) de DrayTek para la segmentación de redes multiinquilino con asignación dinámica de VLAN. Diseñado para instaladores de TI y administradores de redes de PyMEs que implementan Purple en entornos de hospitalidad, comercio minorista y complejos multiinquilino.

📖 10 min de lectura📝 2,500 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 9 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenidos al informe de integración de Purple. Hoy analizaremos los routers DrayTek Vigor y los puntos de acceso VigorAP, y específicamente cómo integrarlos con Purple WiFi. Este informe está dirigido a gerentes de TI y arquitectos de redes que implementan redes de invitados, personal y multiinquilino en establecimientos de PyMEs y del mercado medio.

Comencemos con el contexto. El hardware de DrayTek es increíblemente popular en el comercio minorista, la hospitalidad y las unidades multihabitacionales porque ofrece sólidas capacidades de enrutamiento, VPN e inalámbricas a un precio competitivo. Al emparejar un router DrayTek Vigor con Purple, transforma una conexión a Internet estándar en una red basada en la identidad (Identity-Based Network). Purple cuenta con más de 80,000 establecimientos activos y procesa 440 millones de inicios de sesión al año. Nosotros aportamos el Captive Portal, las analíticas y la capa de seguridad. DrayTek proporciona la infraestructura perimetral confiable.

Entremos de lleno en los detalles técnicos. ¿Cómo hacemos que esto funcione realmente? El núcleo de la integración se basa en la autenticación RADIUS y la redirección externa del Captive Portal.

Primero, la configuración de WiFi de invitados. Configurará el router DrayTek Vigor como una puerta de enlace de Hotspot Web Portal. En la interfaz de DrayOS, en Applications y RADIUS, agregará la IP del servidor RADIUS de Purple y el secreto compartido. Luego, en Hotspot Web Portal, establecerá el Portal Method en External Server y pegará su URL de acceso específica de Purple. El router DrayTek intercepta el tráfico de invitados, lo redirige a la capa en la nube de Purple para su autenticación y luego utiliza RADIUS para otorgar el acceso.

Un paso crítico aquí es el Walled Garden. Los invitados deben poder llegar a los servidores de Purple antes de autenticarse. Debe configurar la pestaña Destination Domain en el perfil de Hotspot de DrayTek para permitir el tráfico hacia los dominios de autenticación de Purple. Si omite esto, la página de inicio simplemente no se cargará. Este es uno de los errores más comunes durante la implementación inicial.

Ahora, ¿qué pasa con el WiFi de personal? Para un acceso seguro del personal, no se utiliza un Captive Portal. Se utiliza la autenticación 802.1X, que es el estándar IEEE para el control de acceso a la red basado en puertos. En la configuración de seguridad de la LAN inalámbrica de DrayTek, seleccionará WPA2 barra diagonal 802.1X y la apuntará al servidor RADIUS de Purple. Los dispositivos del personal se autentican sin problemas utilizando PEAP y MS-CHAPv2. Esto elimina por completo las contraseñas compartidas y le permite revocar el acceso de forma instantánea cuando un empleado se va. No es necesario cambiar la contraseña en todo el establecimiento.

Hablemos de los entornos multiinquilino. Piense en alojamientos para estudiantes, espacios de coworking o concesiones minoristas. Necesita segmentación de red. DrayTek maneja esto con VLAN y Multiple PSK, también conocido como PPSK o Private Pre-Shared Key. Configurará las VLAN en el router DrayTek. Por ejemplo, la VLAN 10 para invitados, la VLAN 20 para el personal y la VLAN 30 para los inquilinos. Utilizando la función WPA2-PPSK de DrayTek en los VigorAP, cada inquilino obtiene una frase de contraseña única. Cuando se conectan, el punto de acceso vincula esa frase de contraseña a su dirección MAC y los ubica en su VLAN aislada. Esto significa que un inquilino de una cafetería en la planta baja de un hotel no puede ver la red interna del hotel, a pesar de que comparten el mismo punto de acceso físico.

La asignación dinámica de VLAN lleva esto más allá. El servidor RADIUS de Purple puede devolver atributos RADIUS específicos cuando un usuario se autentica. Estos son los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek lee estos valores y asigna dinámicamente al cliente autenticado a la VLAN correcta. Esto es la red basada en la identidad en la práctica: la red se adapta a la identidad del usuario, no al revés.

Pasemos a las recomendaciones de implementación y los errores comunes.

Recomendación uno: Utilice siempre un backhaul cableado para sus VigorAP. Los sistemas de distribución inalámbrica, o repetidores universales, no pueden transmitir las etiquetas VLAN 802.1Q requeridas para una segmentación de red adecuada. Si desea una red de invitados aislada de su LAN interna, necesita que esas etiquetas VLAN estén intactas, y eso significa un cable Ethernet físico desde cada punto de acceso de regreso al router DrayTek o a un switch administrado.

Recomendación dos: Habilite AP-Assisted Mobility en los VigorAP. Esta función desasocia de manera inteligente a los clientes con baja intensidad de señal, obligándolos a realizar roaming a un punto de acceso más cercano. Resuelve el problema de los clientes persistentes (sticky clients) que afecta a muchas implementaciones de PyMEs. En un entorno minorista, un comprador que camina desde el frente de la tienda hacia la parte trasera debe realizar la transición entre puntos de acceso sin problemas. Sin AP-Assisted Mobility, su dispositivo podría aferrarse al punto de acceso frontal incluso cuando la señal sea débil.

Recomendación tres: Planifique su esquema de numeración de VLAN antes de comenzar. Cambiar los ID de VLAN después de la implementación requiere volver a configurar el router, todos los puntos de acceso y, potencialmente, cualquier switch administrado en la ruta. Documente su esquema claramente.

¿El mayor error común? Olvidar reiniciar el router DrayTek después de aplicar las configuraciones de RADIUS y Hotspot. DrayOS requiere un reinicio para aplicar estos cambios específicos. Si omite esto, pasará horas solucionando problemas de una configuración que en realidad es correcta pero que simplemente aún no está activa. Esto está documentado en la guía de soporte oficial de Purple para el hardware de DrayTek.

Hagamos una sesión de preguntas y respuestas rápidas.

Pregunta: ¿Puedo utilizar el servidor RADIUS interno del router Vigor?
Respuesta: Puede hacerlo para la autenticación 802.1X local, pero para la integración con Purple, debe utilizar los servidores RADIUS externos de Purple. Esto es lo que permite la gestión centralizada de políticas y las analíticas que proporciona Purple.

Pregunta: ¿Admite DrayTek el direccionamiento dinámico de VLAN a través de RADIUS?
Respuesta: Sí. El servidor RADIUS de Purple devuelve los atributos Tunnel-Type y Tunnel-Private-Group-ID al autenticarse. El router DrayTek lee estos atributos y asigna dinámicamente al cliente a la VLAN correcta.

Pregunta: ¿Qué sucede si el dispositivo iOS de un usuario utiliza una dirección MAC privada con PPSK?
Respuesta: Fallará la autenticación. El perfil PPSK se vincula a una dirección MAC específica. Debe indicar a los usuarios que deshabiliten la Dirección WiFi privada para su red específica en la configuración de su iOS para garantizar una conectividad estable.

Pregunta: ¿Qué modelos de DrayTek son compatibles con Purple?
Respuesta: Los modelos compatibles actualmente incluyen las series 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 y 3910. Consulte la documentación de soporte de Purple para obtener la lista más reciente.

Para resumir. DrayTek y Purple juntos le brindan un control de red de nivel empresarial a precios de PyMEs. Utiliza el Hotspot Web Portal para invitados, 802.1X para el personal y PPSK con VLAN para los inquilinos. Planifique sus VLAN con cuidado, configure sus Walled Gardens y reinicie siempre después de aplicar la configuración de RADIUS. Utilice un backhaul cableado para sus puntos de acceso, habilite AP-Assisted Mobility y planifique la aleatorización de MAC en dispositivos iOS.

Gracias por escuchar este informe técnico. Configure su hardware y nos vemos en la plataforma de Purple.

Puntos clave

✓Los routers DrayTek Vigor utilizan la función Hotspot Web Portal con el modo External Server para redirigir el tráfico de invitados a la página de inicio alojada en la nube de Purple para la captura de datos conforme a GDPR.
✓El Walled Garden (pestaña Dest Domain) debe incluir todos los dominios de autenticación de Purple antes de la implementación; la falta de entradas es la causa más común de fallas en la página de inicio.
✓El WiFi de personal debe utilizar la seguridad WPA2/802.1X Enterprise, autenticándose contra el servidor RADIUS de Purple, para eliminar las contraseñas compartidas y permitir la revocación instantánea del acceso por usuario.
✓Los entornos multiinquilino utilizan DrayTek WPA2-PPSK en los VigorAP para asignar frases de contraseña únicas por inquilino, etiquetando dinámicamente el tráfico en VLAN aisladas en el router Vigor.
✓Todos los VigorAP deben conectarse al router a través de Ethernet cableado; los modos de repetidor inalámbrico eliminan las etiquetas VLAN 802.1Q y rompen la segmentación de la red.
✓DrayOS requiere reiniciar el router para aplicar cualquier cambio en las configuraciones de RADIUS o del Hotspot Web Portal; este es un paso obligatorio, no opcional.
✓Habilite AP-Assisted Mobility en los VigorAP para evitar el comportamiento de cliente persistente (sticky client) y garantizar sesiones estables del Captive Portal a medida que los usuarios se desplazan por el establecimiento.

Resumen ejecutivo

Los routers DrayTek Vigor y los puntos de acceso VigorAP están implementados en decenas de miles de sitios de PyMEs, comercio minorista y hospitalidad en todo el Reino Unido y Europa. Cuando se integran con la capa en la nube de Purple, este hardware se convierte en la base de una red basada en la identidad (Identity-Based Network): captura datos de primera fuente, protege los recursos internos y segmenta el tráfico multiinquilino, todo desde una sola plataforma.

Esta guía cubre cuatro escenarios de implementación: WiFi de invitados con una página de inicio personalizada y autenticación RADIUS, WiFi de personal seguro mediante IEEE 802.1X Enterprise, configuración de Walled Garden para permitir el tráfico previo a la autenticación y WiFi multiinquilino utilizando la función WPA2-PPSK de DrayTek con asignación dinámica de VLAN. Purple opera en más de 80,000 establecimientos activos con un tiempo de actividad del 99.999% y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials, por lo que los requisitos de seguridad y cumplimiento que enfrenta su establecimiento ya están integrados en la plataforma.

Los modelos de DrayTek compatibles incluyen las series Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 y 3910. Todos los puntos de acceso VigorAP administrados a través de la gestión centralizada de AP (Central AP Management o APM) son compatibles con esta integración.

Análisis técnico detallado

Cómo funciona la integración

La integración de DrayTek y Purple se basa en dos mecanismos que funcionan en conjunto: la redirección externa del Captive Portal y la autenticación RADIUS (Remote Authentication Dial-In User Service). Purple actúa como el proveedor de identidad y motor de políticas centralizado. El router DrayTek Vigor actúa como el servidor de acceso a la red (NAS), aplicando las decisiones de acceso devueltas por los servidores RADIUS de Purple.

Cuando un invitado se conecta al SSID de WiFi, el router DrayTek coloca el dispositivo en un estado de preautenticación. Intercepta el tráfico HTTP del dispositivo y lo redirige a la página de inicio alojada en la nube de Purple a través de la función Hotspot Web Portal en DrayOS. El usuario completa el flujo de inicio de sesión en la plataforma de Purple, utilizando inicio de sesión social, correo electrónico, SMS o un proveedor de identidad administrado como Microsoft Entra ID, Okta o Google Workspace. El servidor RADIUS de Purple devuelve un mensaje Access-Accept al router DrayTek, el cual otorga acceso a Internet y comienza la contabilidad RADIUS en el puerto 1813.

WiFi de invitados y el Captive Portal de DrayTek

El Hotspot Web Portal de DrayTek es el mecanismo central para la autenticación de invitados. En DrayOS, se configura un perfil de Hotspot que define el método de portal, el servidor de autenticación, los límites de sesión y la página de destino. Establecer el método de portal en External Server le indica a DrayOS que redirija a los clientes no autenticados a una URL externa (en este caso, su URL de acceso de Purple) en lugar de mostrar una página alojada localmente.

La configuración de RADIUS dentro del perfil de Hotspot apunta a la IP del servidor RADIUS de Purple en el puerto 1812 para la autenticación y en el puerto 1813 para la contabilidad. El secreto compartido debe coincidir exactamente con lo que se muestra en el panel de control de su establecimiento en Purple. Un error de coincidencia aquí es la causa más común de fallas de autenticación.

La gestión de la sesión se controla mediante la configuración Expired Time After Activation. Para la mayoría de las implementaciones de hospitalidad y comercio minorista, seis horas es un valor predeterminado práctico. Puede alinear esto con el tiempo de espera de sesión de Purple para garantizar un comportamiento coherente en ambos sistemas.

Configuración de Walled Garden

Antes de que un invitado se autentique, su dispositivo no tiene acceso a Internet. Sin embargo, el dispositivo debe poder comunicarse con los servidores de Purple para cargar la página de inicio. El Walled Garden, configurado a través de la pestaña Dest Domain en el perfil de Hotspot de DrayTek, define a qué dominios se puede acceder antes de la autenticación.

Debe agregar los dominios de autenticación de Purple a esta lista, uno por índice. Si utiliza proveedores de inicio de sesión social (como Google o Facebook) o un proveedor de identidad administrado como Microsoft Entra ID, sus dominios también deben incluirse. No configurar el Walled Garden correctamente es la razón más común por la que un Captive Portal de DrayTek no muestra la página de inicio. La documentación de soporte de Purple proporciona la lista actual de dominios requeridos para cada método de inicio de sesión.

WiFi de personal seguro mediante 802.1X

Para el personal interno, un Captive Portal es la herramienta incorrecta. Las contraseñas WPA2 compartidas son un riesgo de seguridad: cuando un empleado se va, debe actualizar la contraseña en cada dispositivo. La autenticación IEEE 802.1X Enterprise elimina este problema por completo.

En DrayOS, navegue a Wireless LAN > Security y seleccione WPA2/802.1X para su SSID de personal. Haga clic en el enlace RADIUS Server e ingrese la IP del servidor de Purple, el puerto y el secreto compartido. Los dispositivos del personal se autentican utilizando PEAP (Protected Extensible Authentication Protocol) con MS-CHAPv2 como método interno. Esta es la configuración requerida para dispositivos Windows, macOS, iOS y Android que se conectan a una red inalámbrica empresarial.

Purple revoca el acceso a nivel de identidad. Cuando un empleado se va, usted deshabilita su cuenta en su proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace). El servidor RADIUS de Purple deja de aceptar inmediatamente las solicitudes de autenticación de esa cuenta. No se requiere ningún cambio de contraseña en todo el establecimiento.

Para obtener más información sobre la arquitectura de seguridad inalámbrica empresarial, consulte nuestra Guía completa de seguridad WiFi empresarial para 2026 .

Segmentación de red multiinquilino con PSK múltiples de DrayTek

Los entornos multiinquilino (hoteles con espacios de restaurante o tiendas minoristas arrendados, espacios de coworking, alojamientos para estudiantes y desarrollos de construcción para alquiler) requieren un aislamiento estricto de la red entre los inquilinos. Un comprador en una concesión no debe poder acceder a la red interna del hotel, y dos inquilinos minoristas no deben poder ver el tráfico del otro.

DrayTek abordresuelve esto con dos funciones complementarias: etiquetado de VLAN y WPA2-PPSK (Clave privada precompartida).

La configuración de VLAN en el router Vigor asigna a cada inquilino a una red lógica independiente. Vaya a LAN > VLAN, habilite la configuración de VLAN y asigne un ID de VLAN único a cada segmento de inquilino. Todos los puertos LAN que se conectan a los VigorAP deben ser miembros de todas las VLAN relevantes, operando efectivamente como puertos troncales 802.1Q. La Tabla de enrutamiento Inter-LAN en LAN > Configuración general controla si el tráfico puede cruzar entre VLANs; para el aislamiento de inquilinos, esto debe estar deshabilitado.

WPA2-PPSK en el VigorAP asigna una frase de contraseña única a cada inquilino. El punto de acceso vincula esta frase de contraseña a la dirección MAC del dispositivo. Cuando un dispositivo se conecta, el AP identifica la frase de contraseña utilizada y etiqueta el tráfico con el ID de VLAN correspondiente. Esto permite que un solo SSID sirva a múltiples redes de inquilinos aisladas simultáneamente, lo que reduce la sobrecarga inalámbrica y simplifica la experiencia del usuario final.

Asignación dinámica de VLAN mediante RADIUS

Para implementaciones donde la asignación de VLAN deba basarse en la identidad del usuario en lugar de una frase de contraseña estática, el servidor RADIUS de Purple admite el direccionamiento dinámico de VLAN. Cuando un usuario se autentica, Purple devuelve tres atributos RADIUS en el mensaje Access-Accept:

Atributo RADIUS	Valor
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID de VLAN (por ejemplo, "20")

El router DrayTek lee estos atributos y asigna el cliente autenticado a la VLAN especificada, independientemente del SSID al que se haya conectado. Esto es Redes basadas en la identidad: el segmento de red se determina por quién es el usuario, no por qué contraseña escribió.

Guía de implementación

Lista de verificación previa a la implementación

Antes de comenzar, confirme lo siguiente:

Elemento	Requisito
Firmware de DrayTek	Última versión estable de DrayOS
Sede de Purple	Creada y activa en el panel de control de Purple
Credenciales RADIUS	URL de acceso, IP del servidor RADIUS, secreto compartido, identificador NAS recuperado de Purple
Plan de VLAN	IDs de VLAN documentados para Invitados, Personal y cada inquilino
Backhaul de VigorAP	Ethernet cableado confirmado para todos los puntos de acceso

Paso 1: Configurar RADIUS en el router DrayTek

Vaya a Aplicaciones > RADIUS/TACACS+ en la interfaz web de DrayOS. En la pestaña RADIUS externo, habilite el perfil e ingrese la dirección IP del servidor RADIUS de Purple, el puerto (1812) y el secreto compartido. Haga clic en Aceptar para guardar. El router requiere un reinicio para aplicar este cambio; no omita este paso.

Paso 2: Crear el perfil del Hotspot Web Portal

Vaya a Hotspot Web Portal > Configuración de perfil y seleccione un índice disponible. Configure el perfil de la siguiente manera:

Configuración	Valor
Habilitar este perfil	Sí
Método de portal	Servidor externo
Captive Portal URL	Su URL de acceso de Purple
URL de redirección	http://portal.draytek.com
Método de autenticación	Servidor RADIUS externo
Dirección IP del servidor	IP del servidor RADIUS de Purple
Puerto de destino	1812
Secreto compartido	Su secreto compartido de Purple
Habilitar contabilidad	Sí
Puerto de contabilidad	1813
Formato de dirección MAC	AA-BB-CC-DD-EE-FF

Haga clic en Aceptar para guardar.

Paso 3: Configurar el Walled Garden

Haga clic en Guardar y siguiente para continuar con la pestaña Dominio de destino. Agregue cada dominio de Purple requerido, uno por índice. Consulte la lista blanca de dominios de Walled Garden de Purple en la documentación de soporte para ver la lista actual. Haga clic en Guardar y siguiente para continuar.

Paso 4: Configurar los ajustes de sesión y de la página de inicio

En la pantalla de configuración final, establezca:

Configuración	Valor
Tiempo de expiración después de la activación	0 días, 6 horas, 0 min (o la duración de su preferencia)
Redirección HTTPS	No
Detección de Captive Portal	Sí
Página de inicio después de la autenticación	Su URL de redirección de Purple
Interfaces aplicadas	Seleccione los SSID de WiFi para invitados

Haga clic en Finalizar para guardar. Reinicie el router antes de realizar la prueba.

Paso 5: Configurar VLANs para la segmentación de red

Vaya a LAN > VLAN y habilite la configuración de VLAN. Cree una entrada de VLAN para cada segmento de red. Asigne todos los puertos LAN que se conectan a los VigorAP como miembros de todas las VLAN relevantes (configuración troncal). Vaya a LAN > Configuración general y use la Tabla de enrutamiento Inter-LAN para bloquear el acceso entre VLANs donde sea necesario.

Paso 6: Configurar 802.1X para el WiFi del personal

Vaya a Wireless LAN > Seguridad y seleccione el SSID del personal. Establezca el modo de seguridad en WPA2/802.1X. Haga clic en el enlace Servidor RADIUS e ingrese la IP del servidor de Purple, el puerto 1812 y el secreto compartido. Guarde la configuración.

Paso 7: Configurar PPSK para el aislamiento de múltiples inquilinos

En cada VigorAP, vaya a Wireless LAN > Configuración de seguridad y seleccione WPA2PPSK. Haga clic en el botón PPSK para agregar entradas. Para cada inquilino, cree una entrada PPSK con la dirección MAC del dispositivo del inquilino y una frase de contraseña única. Asegúrese de que la frase de contraseña esté asociada con la VLAN correcta en la configuración de su router. Tenga en cuenta que los perfiles PPSK para 2.4 GHz y 5 GHz se administran por separado en los VigorAP.

Mejores prácticas

Las siguientes recomendaciones reflejan la experiencia de implementación de Purple en más de 80,000 sedes, incluidos entornos de hotelería , comercio minorista , atención médica y transporte .

Utilice backhaul cableado para todos los VigorAP. Los sistemas de distribución inalámbrica (WDS) y los modos de repetidor universal no pueden transmitir etiquetas VLAN 802.1Q. Si necesita segmentación de red (y en cualquier sede de múltiples inquilinos o de uso mixto la necesita), cada punto de acceso debe conectarse al router o a un switch administrado a través de Ethernet.

Habilite la movilidad asistida por AP. Los VigorAP de DrayTek admiten la preautenticación y el almacenamiento en caché de PMK para acelerar la reautenticación 802.1X cuando un cliente realiza roamingentre puntos de acceso. Habilite AP-Assisted Mobility para desasociar activamente a los clientes con una intensidad de señal débil, obligándolos a conectarse al AP más cercano. Esto es particularmente importante en entornos de retail donde los compradores se desplazan continuamente por el espacio.

Planifique su esquema de VLAN antes de la implementación. Cambiar los ID de VLAN después de la implementación requiere reconfigurar el router, todos los puntos de acceso y cualquier switch administrado en la ruta. Documente su esquema (VLAN 10 para Invitados, VLAN 20 para Personal, VLAN 30+ para inquilinos) antes de tocar el hardware.

Alinee los tiempos de espera de sesión entre DrayTek y Purple. Si el perfil de Hotspot de DrayTek expira una sesión después de seis horas pero la sesión de Purple está configurada en 24 horas, los usuarios serán redirigidos a la página splash a mitad de la sesión. Configure ambos con el mismo valor.

Deshabilite la aleatorización de MAC para implementaciones de PPSK. Los dispositivos iOS y macOS utilizan Direcciones WiFi Privadas (MAC aleatorias) de forma predeterminada. Dado que DrayTek PPSK vincula una frase de contraseña a una dirección MAC específica, la aleatorización provocará fallas de autenticación. Indique a los usuarios que deshabiliten esta configuración para su red o documente el proceso claramente en su flujo de incorporación (onboarding).

Utilice Band Steering en los VigorAPs. Habilite Band Steering para guiar a los dispositivos con capacidad de doble banda a la banda de 5GHz. Esto reduce la congestión en la banda de 2.4GHz y mejora el rendimiento (throughput) para todos los dispositivos conectados.

Para obtener una visión más amplia de la arquitectura de seguridad inalámbrica empresarial, consulte nuestra guía sobre Seguridad WiFi empresarial: Una guía completa para 2026 . Si está realizando la implementación en múltiples sitios con diferentes proveedores de hardware, nuestra guía de Integración de SonicWall TZ y SonicWave con Purple WiFi cubre un patrón de integración comparable.

Resolución de problemas y mitigación de riesgos

La página splash no se carga. La causa más común es un Walled Garden incompleto. Verifique que todos los dominios de Purple requeridos estén listados en la pestaña Dest Domain. También confirme que el pool de DHCP para invitados esté activo y que la resolución de DNS funcione para los clientes preautenticados. Realice una prueba conectando un dispositivo e intentando navegar a una URL HTTP conocida.

La autenticación RADIUS falla. Verifique que el secreto compartido no tenga errores tipográficos; distingue entre mayúsculas y minúsculas. Confirme que el router DrayTek tenga una ruta a Internet y no esté bloqueando el tráfico UDP saliente en los puertos 1812 y 1813. Verifique que haya reiniciado el router después de aplicar la configuración de RADIUS. Revise el panel de control (dashboard) de Purple para ver los registros de autenticación e identificar si la solicitud está llegando a los servidores de Purple.

Clientes asignados a la VLAN incorrecta. Verifique la configuración del puerto troncal (trunk port) entre el router DrayTek y los VigorAPs. Los puertos del switch deben permitir las etiquetas VLAN específicas. Si está utilizando un switch no administrado, confirme que transmita tramas etiquetadas 802.1Q sin eliminar las etiquetas. Verifique el perfil PPSK para confirmar el mapeo correcto de frase de contraseña a VLAN.

Clientes persistentes (sticky clients) que no realizan roaming. Si los dispositivos no realizan roaming entre los VigorAPs como se espera, verifique que AP-Assisted Mobility esté habilitado y que el umbral de RSSI esté configurado adecuadamente para su establecimiento. También confirme que todos los VigorAPs estén ejecutando la misma versión de firmware, ya que las inconsistencias pueden afectar el comportamiento del roaming.

Dispositivos iOS que fallan en la autenticación PPSK. Confirme que el usuario haya deshabilitado la Dirección WiFi Privada para su red específica en Configuración > WiFi > [Nombre de la red] > Dirección WiFi Privada. El perfil PPSK debe contener la dirección MAC de hardware real del dispositivo.

ROI e impacto comercial

La implementación de hardware DrayTek con Purple ofrece retornos medibles en tres áreas: eficiencia operativa, captura de datos y cumplimiento.

Eficiencia operativa. La autenticación 802.1X elimina la carga administrativa de gestionar contraseñas WiFi compartidas. Cuando un miembro del personal se va, usted deshabilita su cuenta en Microsoft Entra ID, Okta o Google Workspace. El servidor RADIUS de Purple deja de aceptar sus credenciales de inmediato. No se requiere la rotación de contraseñas en todo el establecimiento. Para una cadena de retail de 50 sitios, esto por sí solo elimina cientos de horas de carga de trabajo de TI al año.

Captura de datos y ROI de marketing. Cada invitado que se conecta a través del captive portal de Purple proporciona una identidad verificada: dirección de correo electrónico, número de teléfono o perfil de red social. Estos datos de primera mano (first-party data) se alimentan directamente en la plataforma de WiFi Analytics de Purple, donde puede realizar un seguimiento del tiempo de permanencia, las tasas de visitas repetidas y la interacción con las campañas. Purple ha recopilado 29 mil millones de puntos de datos en toda su red. Los establecimientos que utilizan el plan Engage de Purple reportan incrementos medibles en las tasas de visitas repetidas a través de comunicaciones dirigidas posteriores a la visita.

Cumplimiento. Purple cuenta con la certificación ISO 27001, cumple con GDPR y CCPA, y tiene la certificación Cyber Essentials. El captive portal impone opciones de consentimiento (opt-in) conscientes, garantizando que la recopilación de datos cumpla con los requisitos de GDPR. La segmentación de VLAN aísla los entornos de tarjetas de pago del tráfico de invitados, lo que respalda el cumplimiento de PCI DSS. Para los centros de salud, el aislamiento de la red de pacientes y visitantes cumple con las directrices de la NHS y la ICO sobre el manejo de datos.

Para obtener una visión detallada de cómo Purple impulsa la toma de decisiones basada en análisis en entornos de establecimientos, consulte nuestra descripción general de la plataforma WiFi Analytics .

Definiciones clave

Captive portal

Una página web que intercepta el tráfico HTTP de un usuario y requiere interacción (inicio de sesión, aceptación de términos o envío de datos) antes de otorgar acceso a la red.

El mecanismo que utiliza Purple para capturar datos de invitados de primera fuente en el Hotspot Web Portal de DrayTek. Se configura a través del método de portal External Server en DrayOS.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona autenticación, autorización y contabilidad (AAA) centralizadas para el acceso a la red.

El router DrayTek envía solicitudes de autenticación al servidor RADIUS de Purple en el puerto UDP 1812 y datos de contabilidad en el puerto 1813. El secreto compartido debe coincidir en ambos lados.

802.1X

Un estándar IEEE para el control de acceso a la red basado en puertos. Requiere que los dispositivos se autentiquen con un servidor RADIUS antes de que se les otorgue acceso a la red.

Se utiliza para el WiFi de personal en hardware DrayTek. Elimina las contraseñas compartidas y permite la revocación de acceso por usuario a través del proveedor de identidad.

VLAN

Virtual Local Area Network. Un segmento de red lógico que aísla el tráfico en la Capa 2, incluso cuando los dispositivos comparten la misma infraestructura física.

Se utiliza en los routers DrayTek Vigor para separar el tráfico de invitados, personal e inquilinos. Requiere puertos troncales 802.1Q entre el router y los VigorAP.

Walled Garden

Un conjunto de dominios o rangos de IP a los que los usuarios no autenticados pueden acceder antes de completar el flujo del Captive Portal.

Se configura en la pestaña Dest Domain del perfil de Hotspot de DrayTek. Debe incluir los servidores de autenticación de Purple y cualquier dominio de proveedor de identidad utilizado para iniciar sesión.

PPSK

Private Pre-Shared Key. Un método de seguridad en el que a cada usuario o dispositivo se le asigna una frase de contraseña única, en lugar de compartir una única contraseña de red.

Se utiliza en los VigorAP de DrayTek para asignar dispositivos multiinquilino a VLAN específicas. La frase de contraseña está vinculada a la dirección MAC del dispositivo.

AP-Assisted Mobility

Una función de DrayTek VigorAP que monitorea la intensidad de la señal del cliente y desasocia activamente a los clientes por debajo de un umbral de RSSI definido, indicándoles que realicen roaming a un punto de acceso más cercano.

Crítico para implementaciones de comercio minorista y hospitalidad donde los usuarios se desplazan por el establecimiento. Evita el comportamiento de cliente persistente (sticky client) que provoca caídas de sesión del Captive Portal.

PEAP

Protected Extensible Authentication Protocol. Un método EAP de 802.1X que encapsula el intercambio de autenticación en un túnel TLS, protegiendo las credenciales en tránsito.

El método EAP utilizado para el WiFi de personal en hardware DrayTek. Se combina con MS-CHAPv2 como método de autenticación interno para dispositivos Windows, macOS, iOS y Android.

Dynamic VLAN assignment

Un mecanismo en el que el servidor RADIUS devuelve atributos de VLAN en el mensaje Access-Accept, y el dispositivo de red asigna automáticamente al cliente autenticado a la VLAN especificada.

El servidor RADIUS de Purple devuelve los atributos Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID. El router DrayTek aplica la asignación de VLAN según la identidad del usuario.

Ejemplos resueltos

Un hotel boutique de 150 habitaciones está implementando un router DrayTek Vigor 2865 con seis puntos de acceso VigorAP 903. Necesitan proporcionar un WiFi de invitados personalizado con captura de datos, un WiFi de personal seguro para 40 empleados y una red aislada para un restaurante arrendado en la planta baja. El gerente de TI del hotel nunca antes ha configurado 802.1X.

El gerente de TI crea tres VLAN en el Vigor 2865: VLAN 10 para invitados (192.168.10.0/24), VLAN 20 para el personal (192.168.20.0/24) y VLAN 30 para el restaurante (192.168.30.0/24). El enrutamiento inter-LAN está deshabilitado entre los tres segmentos. Las seis unidades VigorAP 903 están conectadas a través de Ethernet y se administran mediante la gestión centralizada de AP (Central AP Management) en el router. Se transmiten tres SSID: 'Hotel Guest' (VLAN 10, Hotspot Web Portal apuntando a Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X apuntando a Purple RADIUS) y 'Restaurant' (VLAN 30, WPA2-PPSK con una frase de contraseña específica para los dispositivos POS del restaurante). La entrada PPSK del restaurante vincula las direcciones MAC de los POS a la VLAN 30. El gerente de TI registra el inquilino de Microsoft Entra ID del hotel con Purple, lo que permite al personal autenticarse con sus credenciales de empresa existentes. El Walled Garden se configura con todos los dominios de Purple requeridos. Después de reiniciar el router, el gerente de TI prueba cada SSID y confirma la asignación correcta de VLAN a través de la tabla de concesiones DHCP del router.

Comentario del examinador: Esta configuración separa correctamente tres poblaciones de usuarios distintas utilizando el método de autenticación adecuado para cada una. Los invitados utilizan un Captive Portal para la captura de datos y el consentimiento conforme a GDPR. El personal utiliza 802.1X para el acceso basado en credenciales vinculado a su proveedor de identidad existente, lo que elimina la necesidad de una contraseña independiente. El restaurante utiliza PPSK para aislar los dispositivos POS sin requerir la configuración del cliente 802.1X en hardware sin pantalla (headless). El backhaul cableado garantiza que las etiquetas VLAN se preserven en todo momento.

Una cadena de tiendas minoristas con 80 sucursales está experimentando bajas tasas de finalización del Captive Portal. Las analíticas muestran que el 40% de los compradores que se conectan al SSID de WiFi de invitados nunca llegan a la página de inicio (splash page). La cadena utiliza routers DrayTek Vigor 2865 y puntos de acceso VigorAP 912C. El diseño de las tiendas es amplio, con puntos de acceso en ambos extremos del piso de venta.

El administrador de la red investiga dos causas raíz. Primero, audita la configuración de Walled Garden en los 80 sitios utilizando VigorACS 3, la plataforma de gestión centralizada de DrayTek. Descubre que a 23 sitios les faltan dos de los dominios de autenticación de Purple requeridos, lo que provoca que la página de inicio expire para los compradores en esas redes. Actualiza los perfiles de Hotspot de forma centralizada a través de VigorACS 3. Segundo, habilita AP-Assisted Mobility en todos los VigorAP con un umbral de RSSI de -75 dBm. Esto obliga a los dispositivos de los compradores a realizar roaming al AP más cercano a medida que se desplazan por la tienda, evitando el problema de los clientes persistentes (sticky clients) que causaba que las sesiones del Captive Portal se cayeran a mitad de la autenticación. Después de ambos cambios, la tasa de finalización del portal aumenta del 60% al 89% en todas las sucursales.

Comentario del examinador: Este ejemplo ilustra dos modos de falla distintos que se presentan como bajas tasas de finalización del portal. La mala configuración de Walled Garden evita que la página de inicio se cargue por completo. El comportamiento de cliente persistente (sticky client) provoca caídas de sesión a mitad del flujo. La gestión centralizada a través de VigorACS 3 es el enfoque correcto para una red de múltiples sitios; auditar manualmente 80 routers de forma individual sería poco práctico. AP-Assisted Mobility es el mecanismo específico de DrayTek que resuelve el problema de roaming; depender de las decisiones de roaming del lado del cliente no es confiable en entornos minoristas.

Preguntas de práctica

Q1. Ha configurado el Hotspot Web Portal de DrayTek y lo ha apuntado a la URL de acceso de Purple. La configuración de RADIUS es correcta. Sin embargo, cuando los clientes se conectan al SSID de WiFi de invitados, sus navegadores informan un tiempo de espera de conexión agotado y la página de inicio nunca se carga. ¿Cuál es la causa más probable y cuál es el primer paso para diagnosticarla?

Sugerencia: Los clientes en un estado de preautenticación tienen un acceso a la red muy restringido. Considere qué tráfico permite el router antes de que se complete la autenticación.

Ver respuesta modelo

La causa más probable es una configuración de Walled Garden incompleta o faltante. El router DrayTek bloquea todo el tráfico de clientes no autenticados, excepto hacia los dominios enumerados explícitamente en la pestaña Dest Domain. Si los dominios de autenticación de Purple no están en la lista, el navegador del cliente no puede llegar al servidor de la página de inicio. El primer paso de diagnóstico es navegar al perfil de Hotspot, ir a la pestaña Dest Domain y verificar que todos los dominios de Purple requeridos estén presentes. Compare esto con la lista blanca de dominios de Walled Garden de Purple en la documentación de soporte. Una comprobación secundaria es confirmar que el DNS se esté resolviendo correctamente para los clientes preautenticados.

Q2. Un espacio de coworking tiene 12 empresas miembro que comparten un único DrayTek Vigor 2865 y cuatro puntos de acceso VigorAP 912C. Cada empresa debe estar aislada de las demás, pero el administrador del lugar desea transmitir un solo SSID para evitar saturar la lista de WiFi en los dispositivos de los miembros. ¿Cómo diseña esta arquitectura?

Sugerencia: Considere cómo maneja DrayTek las frases de contraseña únicas en un solo SSID y qué configuración adicional se necesita para aplicar el aislamiento entre empresas.

Ver respuesta modelo

Configure WPA2-PPSK en los VigorAP con un único SSID. Cree 12 VLAN en el Vigor 2865, una por empresa. Para cada empresa, cree una entrada PPSK que vincule una frase de contraseña única a las direcciones MAC de los dispositivos de esa empresa y las asigne a su VLAN dedicada. Deshabilite el enrutamiento inter-VLAN en la tabla de enrutamiento Inter-LAN para evitar el tráfico entre empresas. Los dispositivos de cada empresa se conectan al mismo SSID utilizando su frase de contraseña única, y el VigorAP los ubica automáticamente en su VLAN aislada. Para empresas con múltiples dispositivos, cada dispositivo necesita su propia entrada PPSK con su dirección MAC específica y la frase de contraseña compartida de la empresa.

Q3. Después de una actualización de firmware de rutina en un DrayTek Vigor 2865, los miembros del personal informan que sus computadoras portátiles ya no pueden conectarse al SSID de WiFi de personal. El SSID es visible, pero la autenticación falla. El WiFi de invitados sigue funcionando normalmente. ¿Cuáles son las tres causas más probables y en qué orden debería investigarlas?

Sugerencia: El WiFi de invitados utiliza un mecanismo de autenticación diferente al del WiFi de personal. Aísle qué capa de la pila 802.1X ha fallado.

Ver respuesta modelo

Las tres causas más probables son: (1) La actualización de firmware restableció la configuración del servidor RADIUS para el SSID WPA2/802.1X: navegue a Wireless LAN > Security, confirme que la IP del servidor RADIUS y el secreto compartido sigan siendo correctos y reinicie si realiza algún cambio. (2) La actualización de firmware cambió el método EAP o la configuración del puerto RADIUS: verifique que el puerto 1812 siga configurado y que el router pueda comunicarse con el servidor RADIUS de Purple en ese puerto. (3) La actualización de firmware introdujo un cambio de certificado que está provocando que falle la validación EAP-TLS en los dispositivos de los clientes: revise el panel de control de Purple para ver las entradas del registro de autenticación y verificar si las solicitudes están llegando al servidor. Investigue en este orden: primero la configuración de RADIUS (lo más común después de una actualización de firmware), luego la conectividad de red al servidor RADIUS y, por último, los problemas de certificados o del método EAP.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Allied Telesis Access Points Integration with Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para implementaciones multiinquilino seguras.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura 802.1X para el personal con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando orientación práctica paso a paso para MSP y equipos de TI que implementan WiFi para invitados y personal a escala.