Mikrotik RouterOS y WiFi de invitados: configuración de Captive Portal con Purple

Guía de integración de MikroTik RouterOS Captive Portal y Purple WiFi - Guion de Podcast [INTRO - aproximadamente 1 minuto] Bienvenido. Si gestionas la infraestructura WiFi de un hotel, una cadena de tiendas, un estadio o un centro de conferencias, y utilizas MikroTik RouterOS, este episodio es para ti. Te guiaré exactamente sobre cómo integrar el Hotspot Gateway de MikroTik con la plataforma de WiFi para invitados de Purple, cubriendo tres casos de uso distintos: WiFi para invitados con un Captive Portal y walled garden, WiFi seguro para el personal mediante 802.1X, y segregación de red multi-inquilino utilizando la función Private Pre-Shared Key de MikroTik. Esto no es un resumen teórico. Al final de este episodio, tendrás los comandos de CLI específicos, los atributos RADIUS y la lógica de configuración que necesitas para implementar o auditar estos entornos por ti mismo. Comencemos. [DEEP-DIVE TÉCNICO - aproximadamente 5 minutos] Parte uno: WiFi para invitados y el Captive Portal de MikroTik. El Hotspot Gateway de MikroTik es el motor detrás de la redirección de WiFi para invitados en RouterOS. Cuando un visitante se conecta a tu SSID de invitados, el Hotspot Gateway intercepta su tráfico HTTP y lo redirecciona a una página de bienvenida - ese es tu Captive Portal. Purple aloja esa página de bienvenida. Tu router MikroTik actúa como el Hotspot Gateway y cliente RADIUS. La plataforma de Purple actúa como el servidor RADIUS. Así es como se configura. Primero, ejecuta el asistente de configuración de Hotspot desde el menú IP en Winbox o a través de la CLI. Lo asignarás a tu interfaz orientada a los invitados - normalmente una interfaz VLAN o un puerto puente. Establece tu pool de direcciones locales, configura tus servidores DNS y asigna un nombre DNS al hotspot. Ese nombre DNS es lo que los invitados verán en su navegador antes de autenticarse. Una vez que se complete el asistente, debes dirigir el perfil de hotspot al servidor RADIUS de Purple. En la CLI, se ve de esta manera: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Luego, habilita RADIUS en el perfil de hotspot: /ip hotspot profile set default use-radius=yes Purple te proporcionará la dirección IP de RADIUS, el secreto compartido y la URL de la página de bienvenida cuando configures tu punto de acceso en el panel de control de Purple. Ahora, el walled garden. Esto es fundamental. Antes de que un invitado se autentique, su dispositivo debe poder conectarse a la página de bienvenida de Purple y a cualquier proveedor de OAuth que estés utilizando - Google, Facebook, etc. Sin las entradas del walled garden, el bucle de redirección se rompe y los invitados no pueden iniciar sesión. En RouterOS, se agregan las entradas de walled garden en IP, Hotspot, Walled Garden. Debes agregar el dominio de la página de bienvenida de Purple, cualquier dominio de inicio de sesión social y cualquier host de CDN que sirva los recursos de la página de inicio de sesión. La documentación de Purple incluye la lista de los dominios exactos para tu región. Agrégalos como entradas de IP o de nombre de host - las entradas de nombre de host son más resistentes cuando cambian las direcciones IP. Los atributos RADIUS clave que Purple devuelve tras una autenticación exitosa incluyen el tiempo de espera de la sesión, que controla cuánto tiempo permanece conectado un invitado antes de que se le vuelva a solicitar el acceso, y opcionalmente un límite de ancho de banda utilizando el atributo específico del proveedor Mikrotik-Rate-Limit. Esto le permite aplicar políticas de uso justo por sesión de invitado directamente desde el panel de Purple sin necesidad de modificar la configuración del router. Parte dos: WiFi de personal seguro con 802.1X. Aquí es donde se deja de lado por completo el uso de contraseñas compartidas. IEEE 802.1X es el estándar para el control de acceso a redes basado en puertos. En una interfaz inalámbrica MikroTik, se habilita la autenticación WPA2-Enterprise o WPA3-Enterprise, lo que significa que el punto de acceso se convierte en un autenticador - pasa las credenciales EAP del dispositivo del empleado a un servidor RADIUS, que las valida y devuelve un Access-Accept o un Access-Reject. El producto Staff WiFi de Purple se integra con Microsoft Entra ID, Okta y Google Workspace como proveedores de identidad. Cuando el dispositivo de un empleado se conecta, presenta un certificado o un nombre de usuario y contraseña a través de PEAP-MSCHAPv2. El servidor RADIUS de Purple valida esa credencial con su proveedor de identidad en tiempo real. En el lado de MikroTik, se configura el perfil de seguridad inalámbrica con authentication-types establecido en wpa2-eap, y se apunta el cliente RADIUS al servidor de Purple con service=wireless. En CAPsMAN - el sistema de gestión centralizada de puntos de acceso de MikroTik - esto se configura a nivel de configuración de seguridad para que se aplique de manera uniforme en todos sus puntos de acceso gestionados. El servidor RADIUS puede devolver el atributo Mikrotik-Wireless-VLANID para colocar al personal autenticado en una VLAN específica. Así es como se aplica la segmentación de red - el personal de finanzas termina en la VLAN 10, el de operaciones en la VLAN 20, y así sucesivamente - todo desde un único SSID, todo impulsado por la identidad. Para la revocación automática - cuando un miembro del personal deja la empresa - la integración de Purple con su proveedor de identidad permite que, al desactivar la cuenta en Entra ID u Okta, el siguiente intento de reautenticación falle y el dispositivo se desconecte. No se requieren cambios manuales en la configuración del router. Parte tres: WiFi multi-inquilino con Private Pre-Shared Keys. Este es el caso más interesante a nivel de arquitectura de los tres. Private PSK - a veces llamado PPSK o iPSK - le permite operar un único SSID donde cada inquilino, residente o grupo de dispositivos se conecta con una contraseña única, y cada contraseña se asigna a una VLAN diferente. En MikroTik, esto funciona mediante la autenticación RADIUS basada en MAC en la interfaz inalámbrica. Cuando un dispositivo se conecta, el punto de acceso envía la dirección MAC del dispositivo al servidor RADIUS como nombre de usuario. El servidor RADIUS - ya sea el propio User Manager de MikroTik en RouterOS 7 o FreeRADIUS - busca esa dirección MAC y devuelve dos atributos específicos del proveedor: Mikrotik-Wireless-Psk, que es la contraseña por dispositivo, y Mikrotik-Wireless-VLANID, que coloca al dispositivo en la VLAN correcta. El perfil de seguridad de la red inalámbrica necesita que radius-mac-authentication esté configurado en yes, y el cliente RADIUS necesita service=wireless. En la práctica, para una propiedad construida para alquiler con 200 departamentos, pre-registrarías las direcciones MAC de los dispositivos de cada residente en la plataforma de Purple al mudarse. Purple asigna cada MAC a una PSK única y a una VLAN correspondiente al segmento de red de ese departamento. El residente se conecta usando la contraseña de su departamento. Sus dispositivos terminan en una VLAN aislada. Los dispositivos de su vecino están en una VLAN completamente separada. Ninguno puede ver el tráfico del otro. Para dispositivos que no son compatibles con 802.1X - smart TVs, consolas de videojuegos, dispositivos IoT - este enfoque es la alternativa práctica. El dispositivo solo necesita ser compatible con WPA2-PSK, lo cual es compatible con todo. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - aproximadamente 2 minutos] Permíteme darte las cuatro cosas que más comúnmente fallan en estas implementaciones. Primero: brechas en el walled garden. Si la página de inicio (splash page) de Purple no se carga, verifica tus entradas de walled garden. El culpable más común es un dominio CDN que falta o una redirección de inicio de sesión social que no está en la lista de permitidos. Utiliza la herramienta Torch de MikroTik o el packet sniffer para observar qué consultas de DNS se están bloqueando antes de la autenticación. Segundo: discrepancias en el tiempo de espera (timeout) de RADIUS. El tiempo de espera predeterminado de RADIUS en MikroTik es de 1,100 milisegundos. Si el servidor RADIUS de Purple está geográficamente distante o la ruta de red tiene latencia, verás fallas de autenticación intermitentes. Incrementa el tiempo de espera a 3,000 milisegundos y configura un servidor RADIUS de respaldo para mayor resiliencia. Tercero: el filtrado de VLAN no está habilitado en el bridge. La asignación dinámica de VLAN a través de RADIUS solo funciona si el filtrado de VLAN del bridge está habilitado. Este es un requisito de RouterOS. Si observas que todos los clientes terminan en la VLAN predeterminada independientemente de lo que devuelva RADIUS, verifica que vlan-filtering=yes esté configurado en tu interfaz de bridge. Cuarto: discrepancia de versión de CAPsMAN. Si estás ejecutando una mezcla de puntos de acceso administrados con CAPsMAN versión 2 y versión 3, el comportamiento del etiquetado de VLAN puede diferir. Estandariza en RouterOS 7 con CAPsMAN versión 3 en todo tu parque de AP antes de implementar funciones de VLAN dinámica. Una recomendación arquitectónica: ejecuta el tráfico de invitados, personal y administración en VLANs separadas desde el primer día, incluso si no estás utilizando los tres casos de uso de Purple de inmediato. Adaptar la segmentación de VLAN a una red plana después de su implementación es significativamente más disruptivo que construirla así desde el inicio. [PREGUNTAS Y RESPUESTAS RÁPIDAS - aproximadamente 1 minuto] ¿Puedo usar el User Manager integrado de MikroTik en lugar de un servidor RADIUS externo? Sí, para implementaciones más pequeñas. User Manager en RouterOS 7 admite PEAP-MSCHAPv2 para 802.1X inalámbrico y puede devolver el atributo Mikrotik-Wireless-VLANID. Para implementaciones de producción con Purple, utilizarás la infraestructura RADIUS alojada de Purple, la cual gestiona la integración con el proveedor de identidad y la administración de sesiones por ti. ¿Es compatible Purple con MikroTik CAPsMAN? Sí. Purple es agnóstico al hardware. La integración funciona a nivel de redirección de hotspot y RADIUS, por lo que es igualmente compatible con puntos de acceso MikroTik independientes y despliegues gestionados por CAPsMAN. ¿Qué versión de RouterOS necesito? Se recomienda RouterOS 7.x para los tres casos de uso cubiertos en esta guía. La asignación dinámica de VLAN a través de RADIUS inalámbrico y el User Manager actualizado son características de RouterOS 7. RouterOS 6.x es compatible con hotspot y autenticación RADIUS básica, pero carece de algunas de las capacidades de VLAN inalámbrica. [RESUMEN Y PRÓXIMOS PASOS - aproximadamente 1 minuto] En resumen: MikroTik RouterOS le ofrece tres puntos de integración distintos con Purple. El Hotspot Gateway se encarga de la redirección de WiFi de invitados y de la autenticación del Captive Portal. La configuración inalámbrica 802.1X con RADIUS gestiona el WiFi seguro del personal con acceso basado en la identidad. Y la autenticación RADIUS basada en MAC con Private PSK gestiona la segregación de redes multi-inquilino para propiedades residenciales y de uso mixto. El hilo conductor en los tres casos es RADIUS. Configure correctamente su cliente RADIUS - IP correcta, secreto compartido correcto, tipo de servicio correcto, tiempo de espera correcto - y el resto vendrá por añadidura. Sus próximos pasos: inicie sesión en su panel de Purple, navegue hasta la configuración del recinto y obtenga sus credenciales de RADIUS. A continuación, siga los comandos de CLI de la guía escrita para configurar su perfil de hotspot, su perfil de seguridad inalámbrica y sus entradas de walled garden. Realice pruebas con un único punto de acceso antes de implementarlo en toda su infraestructura. Si está desplegando esto a escala - múltiples sitios, cientos de puntos de acceso - el equipo de Servicios Profesionales de Purple puede respaldar la implementación. Purple opera en más de 80,000 recintos activos a nivel global, con un tiempo de actividad del 99.999%, y cuenta con las certificaciones ISO 27001, GDPR y Cyber Essentials. Gracias por su atención. La guía escrita completa con todos los comandos de CLI, tablas de atributos de RADIUS y ejemplos prácticos se encuentra enlazada en las notas del programa.