DrayTek Vigor et WiFi invité : configuration du captive portal avec Purple

Bienvenue dans cette présentation de l'intégration Purple. Aujourd'hui, nous nous intéressons aux routeurs DrayTek Vigor et aux points d'accès VigorAP, et plus particulièrement à la manière de les intégrer avec Purple WiFi. Cette présentation s'adresse aux responsables informatiques et aux architectes réseau qui déploient des réseaux pour les invités, le personnel et les réseaux multi-locataires dans les PME et les entreprises de taille moyenne. Commençons par le contexte. Le matériel DrayTek est extrêmement populaire dans le commerce de détail, l'hôtellerie et les immeubles collectifs, car il offre des capacités de routage, de VPN et de réseau sans fil robustes à un prix compétitif. Lorsque vous associez un routeur DrayTek Vigor à Purple, vous transformez une connexion Internet standard en un réseau basé sur l'identité. Purple compte plus de 80 000 sites actifs et traite 440 millions de connexions par an. Nous fournissons le Captive Portal, les analyses et la couche de sécurité. DrayTek fournit l'infrastructure d'accès fiable. Passons à l'analyse technique approfondie. Comment faire fonctionner tout cela concrètement ? Le cœur de l'intégration repose sur l'authentification RADIUS et la redirection externe vers le Captive Portal. Tout d'abord, la configuration du WiFi invité. Vous allez configurer le routeur DrayTek Vigor comme une passerelle de portail web hotspot. Dans l'interface DrayOS, sous Applications et RADIUS, vous ajoutez l'adresse IP du serveur RADIUS de Purple et le secret partagé. Ensuite, sous Hotspot Web Portal, vous définissez la méthode de portail sur Serveur Externe et collez votre URL d'accès Purple spécifique. Le routeur DrayTek intercepte le trafic des invités, le redirige vers l'overlay cloud de Purple pour l'authentification, puis utilise RADIUS pour accorder l'accès. Une étape essentielle ici est le Walled Garden. Les invités doivent pouvoir accéder aux serveurs de Purple avant d'être authentifiés. Vous devez configurer l'onglet Destination Domain dans le profil DrayTek Hotspot pour autoriser le trafic vers les domaines d'authentification de Purple. Si vous oubliez cette étape, la page de connexion ne s'affichera tout simplement pas. C'est l'une des erreurs les plus courantes lors du déploiement initial. Qu'en est-il maintenant du WiFi du personnel ? Pour un accès sécurisé du personnel, vous n'utilisez pas de Captive Portal. Vous utilisez l'authentification 802.1X, qui est la norme IEEE pour le contrôle d'accès réseau basé sur les ports. Dans les paramètres de sécurité du réseau local sans fil DrayTek, vous sélectionnez WPA2 / 802.1X et le pointez vers le serveur RADIUS de Purple. Les appareils du personnel s'authentifient de manière transparente à l'aide de PEAP et MS-CHAPv2. Cela élimine complètement les mots de passe partagés et vous permet de révoquer instantanément l'accès lorsqu'un employé s'en va. Il n'est plus nécessaire de modifier le mot de passe pour l'ensemble du site. Parlons des environnements Multi-Tenant. Pensez aux résidences étudiantes, aux espaces de coworking ou aux concessions de vente au détail. Vous avez besoin d'une segmentation du réseau. DrayTek gère cela avec les VLAN et le Multiple PSK, également appelé PPSK ou Private Pre-Shared Key. Vous configurez les VLAN sur le routeur DrayTek. Par exemple, le VLAN 10 pour les invités, le VLAN 20 pour le personnel et le VLAN 30 pour les locataires. Grâce à la fonctionnalité WPA2-PPSK de DrayTek sur les VigorAP, chaque locataire obtient une phrase secrète unique. Lorsqu'ils se connectent, le point d'accès associe cette phrase secrète à leur adresse MAC et les place dans leur VLAN isolé. Cela signifie qu'un locataire de café au rez-de-chaussée d'un hôtel ne peut pas voir le réseau interne de l'hôtel, même s'ils partagent le même point d'accès physique. L'attribution dynamique de VLAN va encore plus loin. Le serveur RADIUS de Purple peut renvoyer des attributs RADIUS spécifiques lorsqu'un utilisateur s'authentifie. Il s'agit des attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-ID. Le routeur DrayTek lit ces valeurs et attribue de manière dynamique le client authentifié au bon VLAN. C'est l'Identity-Based Networking en pratique : le réseau s'adapte à l'identité de l'utilisateur, et non l'inverse. Passons aux recommandations de mise en œuvre et aux pièges à éviter. Recommandation numéro un : utilisez toujours un backhaul câblé pour vos VigorAP. Les systèmes de distribution sans fil, ou répéteurs universels, ne peuvent pas transmettre les balises VLAN 802.1Q requises pour une segmentation correcte du réseau. Si vous souhaitez un réseau d'invités isolé de votre réseau local interne, vous devez conserver ces balises VLAN intactes, ce qui implique un câble Ethernet physique reliant chaque point d'accès au routeur DrayTek ou à un commutateur géré. Recommandation numéro deux : activez l'AP-Assisted Mobility sur les VigorAP. Cette fonctionnalité déconnecte intelligemment les clients dont le signal est faible, les obligeant à basculer vers un point d'accès plus proche. Cela résout le problème des clients collants qui perturbe de nombreux déploiements de PME. Dans un commerce de détail, un client qui marche de l'avant vers l'arrière du magasin doit passer de manière transparente d'un point d'accès à un autre. Sans AP-Assisted Mobility, son appareil peut rester connecté au point d'accès avant même si le signal est faible. Recommandation numéro trois : planifiez votre plan de numérotation de VLAN avant de commencer. Modifier les identifiants de VLAN après le déploiement nécessite de reconfigurer le routeur, tous les points d'accès et potentiellement tous les commutateurs gérés sur le chemin. Documentez clairement votre plan. Le plus grand piège ? Oublier de redémarrer le routeur DrayTek après avoir appliqué les configurations RADIUS et Hotspot. DrayOS nécessite un redémarrage pour appliquer ces modifications spécifiques. Si vous ignorez cette étape, vous passerez des heures à dépanner une configuration qui est en réalité correcte mais simplement pas encore active. Ceci est documenté dans le guide d'assistance officiel de Purple pour le matériel DrayTek. Passons à une session de questions-réponses rapide. Question : Puis-je utiliser le serveur RADIUS interne du routeur Vigor ?Réponse : Vous le pouvez pour l'authentification 802.1X locale, mais pour l'intégration de Purple, vous devez utiliser les serveurs RADIUS externes de Purple. C'est ce qui permet la gestion centralisée des politiques et les analyses fournies par Purple. Question : DrayTek prend-il en charge le pilotage dynamique des VLAN via RADIUS ? Réponse : Oui. Le serveur RADIUS de Purple renvoie les attributs Tunnel-Type et Tunnel-Private-Group-ID lors de l'authentification. Le routeur DrayTek les lit et attribue dynamiquement le client au bon VLAN. Question : Que se passe-t-il si l'appareil iOS d'un utilisateur utilise une adresse MAC privée avec PPSK ? Réponse : L'authentification échouera. Le profil PPSK se lie à une adresse MAC spécifique. Vous devez demander aux utilisateurs de désactiver l'adresse WiFi privée pour votre réseau spécifique dans leurs paramètres iOS afin de garantir une connectivité stable. Question : Quels modèles DrayTek sont pris en charge avec Purple ? Réponse : Les modèles actuellement pris en charge comprennent les séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 et 3910. Consultez la documentation d'assistance de Purple pour obtenir la liste la plus récente. En résumé, DrayTek et Purple vous offrent ensemble un contrôle réseau de niveau entreprise à des tarifs adaptés aux PME. Vous utilisez le portail Web Hotspot pour les invités, le 802.1X pour le personnel et le PPSK avec des VLAN pour les locataires. Cartographiez soigneusement vos VLAN, configurez vos walled gardens et redémarrez toujours après avoir appliqué les paramètres RADIUS. Utilisez un raccordement filaire pour vos points d'accès, activez la mobilité assistée par AP et anticipez la randomisation MAC sur les appareils iOS. Merci d'avoir suivi ce briefing technique. Configurez votre matériel et nous vous retrouverons sur la plateforme Purple.