Grandstream GWN et WiFi invité : configuration du Captive Portal avec Purple

Bienvenue dans la série d'informations techniques Purple. Je suis votre hôte et nous abordons aujourd'hui un modèle de déploiement de plus en plus courant dans le secteur de l'hôtellerie, du commerce de détail et des sites multi-locataires : l'intégration des points d'accès Grandstream GWN avec la plateforme de WiFi invité de Purple. Si vous êtes un MSP, une équipe informatique interne ou un architecte réseau chargé d'un déploiement Grandstream GWN et que l'on vous a demandé d'y greffer un Captive Portal personnalisé avec de l'analytique, cet épisode est pour vous. Nous couvrirons l'ensemble des aspects : redirection de la splash page invité, configuration du walled garden, WiFi personnel sécurisé via 802.1X, et segmentation multi-locataire à l'aide de la fonctionnalité de clé pré-partagée privée de Grandstream. C'est parti. - - - Tout d'abord, un peu de contexte. La série GWN de Grandstream est une gamme de points d'accès robuste pour le marché intermédiaire. Vous disposez des modèles GWN7600 et GWN7630 pour les déploiements en intérieur, des GWN7660 et GWN7664 pour les environnements Wi-Fi 6, et du GWN7610 comme option de montage au plafond pour les espaces à plus forte densité. Ils sont gérés soit via GWN Manager, un contrôleur sur site à installer sur un serveur Linux ou Windows, soit via GWN dot Cloud, la plateforme de gestion hébergée dans le cloud de Grandstream, désormais rebaptisée GDMS Networking. La bonne nouvelle pour les MSP est que ces deux plateformes de gestion prennent en charge nativement la configuration du Captive Portal. Vous pouvez créer la politique du portail, personnaliser la splash page et l'associer à un SSID entièrement au sein de GWN Manager ou de GWN dot Cloud. Mais pour les déploiements d'entreprise nécessitant une collecte de données conforme au GDPR, de l'automatisation marketing et des analyses en temps réel, vous allez remplacer ce portail natif par une plateforme externe. C'est là que Purple intervient. Purple fonctionne comme une surcouche cloud. Il se superpose à votre matériel et fournit le Captive Portal, la couche d'authentification RADIUS, le moteur d'analyse et les outils marketing. Purple prend en charge 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024, ce qui prouve la solidité de la plateforme à grande échelle. L'intégration avec Grandstream GWN suit la même approche standardisée que celle utilisée par Purple avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist et Ubiquiti UniFi. - - - Passons à l'architecture technique. Le flux WiFi invité sur Grandstream GWN avec Purple fonctionne de la manière suivante. Un invité se connecte à votre SSID invité. Son appareil envoie une requête HTTP à n'importe quel site web. Le point d'accès GWN intercepte cette requête et émet une redirection HTTP 302 vers l'URL du portail Purple. L'invité arrive sur votre splash page personnalisée, hébergée par Purple. Il s'authentifie, que ce soit par e-mail, connexion via réseaux sociaux, vérification par SMS ou via un formulaire personnalisé. La plateforme de Purple valide cette authentification, enregistre le consentement et les données conformément au GDPR, puis renvoie un RADIUS Access-Accept au point d'accès GWN. Le point d'accès accorde l'accès à Internet. L'ensemble du flux prend environ trois à fiv secondes, de la connexion à l'accès Internet.Maintenant, les composants clés de la configuration du côté de Grandstream sont : la politique du Captive Portal, les paramètres de la page d'accueil, le walled garden et l'association du SSID. Laissez-moi vous guider à travers chacun d'eux. --- Étape un : configurez la politique du Captive Portal dans GWN Manager ou GWN dot Cloud. Accédez à Captive Portal, puis à Policy List, et créez une nouvelle politique. Donnez-lui un nom descriptif, comme "Purple-Guest-Portal". Définissez l'Authentication Type sur RADIUS Server. Vous verrez alors des champs pour RADIUS Server Address, RADIUS Server Port et RADIUS Server Secret. Saisissez l'adresse IP du serveur RADIUS de Purple et le port 1812 pour l'authentification. Votre clé secrète partagée provient de la console d'administration du portail Purple, dans la section de configuration du matériel de l'établissement. Définissez la RADIUS Authentication Method sur PAP, qui est la méthode utilisée par le flux de Captive Portal de Purple. Sous Landing Page, configurez cela sur Redirect to External Page, et saisissez l'URL de redirection de votre portail Purple. C'est l'URL vers laquelle les clients seront redirigés lors de leur première connexion. Encore une fois, elle provient de votre console d'administration Purple. Définissez la durée d'expiration pour qu'elle corresponde à la politique de session de votre établissement. Pour un hôtel, 24 heures est une valeur typique. Pour un centre de conférences, vous pouvez la régler sur la durée de l'événement. Pour un environnement de vente au détail, deux à quatre heures sont courantes. Activez le Failsafe Mode. C'est important. Si le point d'accès GWN ne peut pas contacter le serveur RADIUS de Purple, le mode failsafe autorise tout de même l'accès à Internet plutôt que de bloquer tous les clients. Pour la plupart des déploiements dans l'hôtellerie et la vente au détail, une brève panne RADIUS ne doit pas priver tous les clients de leur connexion. --- Étape deux : configurez le walled garden. Le walled garden est la liste des domaines et des adresses IP auxquels les clients peuvent accéder avant de s'être authentifiés via le portail. Si vous configurez cela de manière incorrecte, les clients verront une page blanche ou un portail dysfonctionnel, et ils rejetteront la faute sur le WiFi. Dans GWN Manager, le walled garden est configuré sous la politique du Captive Portal en tant que Pre-Authentication Rules. Ajoutez les domaines suivants comme règles d'autorisation : le domaine du portail Purple, qui est portal dot purple dot ai ; tous les domaines CDN à partir desquels la page d'accueil de Purple charge des éléments, y compris cloudfront dot net en utilisant une entrée générique (wildcard) ; le point de terminaison de détection de Captive Portal d'Apple, captive dot apple dot com ; et le point de terminaison de vérification de connectivité de Google, connectivitycheck dot gstatic dot com. Le portail d'assistance de Purple dispose d'un générateur de walled garden dynamique sur support dot purple dot ai. Sélectionnez Grandstream dans la liste du matériel, choisissez vos méthodes d'authentification, et il générera la liste exacte des domaines dont vous avez besoin. Utilisez cette liste. N'essayez pas de la construire manuellement à partir de zéro. Une décision que vous devez prendre : devez-vous inclure captive dot apple dot com dans le walled garden ou non ? Si vous l'incluez, les appareils iOS n'afficheront pas automatiquement le mini-navigateur Captive Network Assistant. Les clients devront ouvrir un navigateur manuellement pour accéder au portail. Si vous l'excluez, iOS lance automatiquement le mini-navigateur lorsque l'appareil se connecte. Pour la plupart des déploiements dans le secteur de l'hôtellerie, vous souhaitez que le mini-navigateur apparaisse, alors laissez captive dot apple dot com en dehors du walled garden. - - - Étape trois : configurer l'SSID. Dans GWN Manager, naviguez vers SSID et modifiez votre SSID invité. Activez le Captive Portal et sélectionnez la politique que vous venez de créer. Configurez le SSID en WPA2-Personal avec un mot de passe ouvert simple, ou configurez-le comme un SSID ouvert si votre établissement préfère cette approche. La sécurité dans ce flux provient de l'authentification du portail, et non du mot de passe WiFi. Activez le Client Isolation. Cela empêche les invités de voir les appareils des autres sur le réseau. C'est une exigence de sécurité de base et une considération PCI-DSS si votre établissement traite des paiements par carte sur la même infrastructure. Attribuez le SSID à votre VLAN invité. Le VLAN 10 est une convention courante pour le trafic invité. Assurez-vous que votre commutateur et votre routeur en amont sont configurés pour acheminer ce VLAN vers Internet avec les règles de pare-feu appropriées. - - - Parlons maintenant du WiFi du personnel utilisant le 802.1X. La norme IEEE 802.1X est le standard pour le contrôle d'accès réseau basé sur les ports. Pour le WiFi du personnel, elle remplace la clé pré-partagée par des identifiants par utilisateur, validés par un fournisseur d'identité. Lorsqu'un membre du personnel se connecte, le point d'accès GWN agit en tant qu'authentificateur, son appareil est le suppliant et le serveur RADIUS de Purple est le serveur d'authentification. Dans GWN Manager, créez un SSID distinct pour le personnel. Définissez le mode de sécurité sur WPA2-Enterprise, ce qui active le 802.1X. Configurez les paramètres du serveur RADIUS avec l'IP RADIUS de Purple, le port 1812 et votre secret partagé. Activez le RADIUS Accounting sur le port 1813 afin de disposer d'une piste d'audit complète indiquant qui s'est connecté, quand et pendant combien de temps. Cette piste d'audit est indispensable pour la conformité GDPR et pour répondre à tout incident de sécurité. Pour la méthode EAP, vous disposez de deux options principales. EAP-TLS utilise des certificats numériques sur le serveur et sur l'appareil client. C'est l'option la plus sécurisée, mais elle nécessite une plateforme de gestion des appareils mobiles pour déployer les certificats sur les appareils du personnel. Si vous disposez de Microsoft Intune ou Jamf, EAP-TLS est le bon choix. PEAP, qui signifie Protected EAP, utilise un nom d'utilisateur et un mot de passe à l'intérieur d'un tunnel TLS chiffré. Il est plus facile à déployer, en particulier pour les environnements de type BYOD, mais vous devez vous assurer que le personnel est formé pour ne pas accepter les avertissements de certificat. Un point d'accès malveillant peut récupérer les identifiants PEAP si les utilisateurs ignorent les erreurs de certificat.Activez l'attribution de VLAN dynamique dans les paramètres de l'SSID. Lorsque cette option est activée, le serveur RADIUS peut renvoyer un ID de VLAN dans le paquet Access-Accept, et l'AP GWN placera l'appareil de connexion sur ce VLAN. Cela signifie que vous pouvez avoir un seul SSID pour le personnel, tout en segmentant automatiquement le personnel informatique sur le VLAN 20, la direction sur le VLAN 21 et les terminaux de point de vente sur le VLAN 40, le tout en fonction de l'identité de l'utilisateur dans l'annuaire de Purple. Les attributs RADIUS pour le VLAN dynamique sont : Tunnel-Type défini sur VLAN, qui est la valeur d'attribut 13 ; Tunnel-Medium-Type défini sur IEEE-802, qui est la valeur d'attribut 6 ; et Tunnel-Private-Group-ID défini sur le numéro du VLAN sous forme de chaîne de caractères. Ces trois attributs dans le paquet Access-Accept sont tout ce dont l'AP GWN a besoin pour orienter l'appareil vers le bon VLAN. --- Abordons maintenant la fonctionnalité particulièrement pertinente pour les propriétés multi-locataires : les clés pré-partagées privées de Grandstream, ou PPSK. La fonctionnalité PPSK est un mécanisme qui permet à un seul SSID de prendre en charge plusieurs mots de passe uniques, chacun étant associé à un VLAN ou à une politique réseau différente. Pensez à un immeuble résidentiel locatif, un espace de coworking ou un immeuble de bureaux équipés. Vous souhaitez qu'un seul SSID soit visible par tous, mais chaque locataire obtient son propre mot de passe qui le place sur son propre segment de réseau isolé. Dans GWN Manager, le PPSK se configure dans les paramètres de l'SSID. Définissez le Security Mode sur WPA2-Personal, puis activez le PPSK. Vous pouvez ensuite créer des entrées PSK individuelles, chacune avec un mot de passe unique et un ID de VLAN associé. Lorsqu'un appareil se connecte en utilisant le mot de passe du Locataire A, l'AP le place sur le VLAN 31. Lorsqu'un appareil utilise le mot de passe du Locataire B, il arrive sur le VLAN 32. Les locataires partagent le même SSID mais sont complètement isolés les uns des autres au niveau de la couche réseau. Pour les déploiements plus importants, Grandstream prend également en charge le PPSK avec un serveur RADIUS en arrière-plan. Dans ce mode, l'AP envoie la PSK en tant qu'attribut RADIUS au serveur d'authentification, qui la valide et renvoie l'attribution de VLAN appropriée. C'est ici que la fonctionnalité de réseaux basés sur l'identité de Purple s'intègre directement. Purple peut gérer la base de données PPSK, valider les clés par rapport à son annuaire et renvoyer des attributions de VLAN dynamiques, vous offrant ainsi une gestion centralisée de centaines d'identifiants de locataires à partir d'une seule plateforme. L'attribut RADIUS utilisé pour la validation PPSK est généralement l'attribut Tunnel-Password, ou un attribut spécifique au fournisseur selon la version du firmware. Consultez les notes de version de Grandstream pour votre firmware spécifique, car la correspondance des attributs a évolué au fil des versions de GWN Manager. --- Permettez-moi de passer en revue les deux modes de défaillance les plus courants que je constate dans les déploiements Grandstream avec des portails externes. Le premier est le problème de redirection. Un visiteur se connecte au SSID, ouvre un navigateur et obtient une erreur « site inaccessible » au lieu de la page du Captive Portal. La cause la plus probable est une mauvaise configuration du walled garden. La page du portail elle-même est bloquée avant l'authentification. Ouvrez les outils de développement de votre navigateur sur un appareil de test connecté au SSID visiteur, regardez l'onglet réseau et identifiez les requêtes qui échouent. Ajoutez ces domaines à vos règles de pré-authentification. Le deuxième mode de défaillance est le dépassement de délai RADIUS. L'AP envoie un Access-Request au serveur RADIUS de Purple et ne reçoit aucune réponse. Cela signifie généralement qu'un pare-feu bloque le port UDP 1812 en sortie depuis le VLAN de gestion de l'AP vers la plage d'adresses IP RADIUS de Purple. Vérifiez les règles de votre pare-feu. Les adresses IP RADIUS de Purple sont documentées dans la console d'administration Purple sous les paramètres du site. Assurez-vous que les adresses IP RADIUS principale et secondaire sont toutes deux autorisées. Un troisième point mérite d'être mentionné : le VLAN dynamique qui ne fonctionne pas. Le personnel se connecte et se retrouve sur le mauvais VLAN. La cause la plus fréquente est que l'option d'activation du VLAN dynamique n'est pas cochée dans les paramètres SSID de GWN Manager. C'est une simple case à cocher qu'il est facile de rater. La seconde cause est une incompatibilité de clé secrète partagée. Si la clé secrète partagée sur l'AP ne correspond pas à celle configurée dans Purple, l'AP rejette silencieusement la réponse RADIUS et se rabat sur le VLAN par défaut. - Laissez-moi vous présenter deux scénarios réels pour rendre cela plus concret. Premier scénario : un hôtel de 120 chambres. L'hôtel utilise des points d'accès GWN7660 gérés via GWN dot Cloud. Ils ont besoin d'un portail visiteur personnalisé pour les clients, d'un réseau personnel sécurisé pour la réception et le ménage, et d'un VLAN de gestion distinct pour le système de gestion de propriété (PMS). La configuration utilise trois SSIDs : Guest WiFi sur le VLAN 10 avec la politique de Captive Portal Purple ; Staff WiFi sur le VLAN 20 avec authentification WPA2-Enterprise et PEAP via le RADIUS de Purple ; et un SSID de gestion masqué sur le VLAN 30 pour les terminaux PMS. L'attribution dynamique de VLAN sur le SSID du personnel permet aux appareils de ménage de se retrouver sur le VLAN 21 avec un accès internet limité, tandis que les appareils de la réception se connectent au VLAN 20 avec un accès complet. Le tableau de bord analytique de Purple affiche pour l'exploitant de l'hôtel le nombre quotidien de visiteurs, la durée des sessions et les taux d'inscription au marketing, fournissant ainsi à l'équipe marketing les données nécessaires pour mener des campagnes ciblées. Scénario deux : un immeuble de 40 appartements en location gérée. L'opérateur utilise des points d'accès GWN7630 avec GWN Manager sur site. Chaque appartement a besoin de son propre réseau isolé. L'opérateur utilise PPSK avec un backend RADIUS. Purple gère 40 identifiants de résidents uniques, chacun associé à un VLAN dédié. Les résidents se connectent à l'unique SSID "BuildingConnect" en utilisant le mot de passe de leur logement. Le portail de Purple gère le flux d'intégration initial, recueille le consentement des résidents et fournit à l'opérateur des analyses d'occupation et des données d'engagement. Lorsqu'un résident déménage, l'opérateur révoque son identifiant PPSK dans la console d'administration de Purple, et l'accès est immédiatement interrompu. Pas besoin de changer le mot de passe du SSID ni de reconfigurer les points d'accès. - Questions-réponses rapides. Trois questions que l'on me pose constamment sur les déploiements Grandstream. Question un : Puis-je utiliser GWN dot Cloud au lieu de GWN Manager pour l'intégration de Purple ? Oui. La configuration du Captive Portal dans GWN dot Cloud est fonctionnellement identique à celle de GWN Manager. Les chemins d'accès aux menus sont les mêmes. Les paramètres RADIUS et de walled garden se trouvent aux mêmes endroits. GWN dot Cloud est le meilleur choix pour les MSP qui gèrent plusieurs sites, car vous bénéficiez d'une interface unique pour tous les déploiements. Question deux : Est-ce que Purple prend en charge les analyses natives de Grandstream en plus des siennes ? Purple remplace les analyses natives du Captive Portal par son propre ensemble de données plus détaillées. Vous obtenez le nombre de sessions, les temps de présence, les taux d'acceptation, les données démographiques issues des champs de formulaire et l'intégration avec les plateformes marketing. Les analyses natives de GWN concernant les performances RF, la santé des points d'accès et le nombre de clients restent disponibles dans GWN Manager ou GWN dot Cloud, parallèlement aux analyses du portail de Purple. Question trois : Quelle version de firmware dois-je utiliser sur les points d'accès GWN pour le PPSK avec RADIUS ? Le PPSK avec un backend RADIUS nécessite le firmware GWN 1.0.19 ou supérieur sur la série GWN76xx. Vérifiez les notes de version de Grandstream avant le déploiement. L'utilisation d'un firmware obsolète est la cause la plus fréquente de comportement inattendu dans les déploiements PPSK. - Pour conclure. L'intégration des points d'accès Grandstream GWN avec Purple est un déploiement simple lorsque vous suivez la bonne séquence. Configurez d'abord les paramètres de votre serveur RADIUS dans la politique du Captive Portal. Créez votre walled garden à l'aide de l'outil de génération de domaine de Purple. Associez la politique à votre SSID invité et activez l'isolation des clients. Pour le WiFi du personnel, activez le WPA2-Enterprise avec attribution dynamique de VLAN. Pour les propriétés multi-locataires, utilisez le PPSK avec un backend RADIUS et gérez les identifiants de manière centralisée via Purple. Les cinq points essentiels à respecter : RADIUS sur le port UDP 1812 avec un secret partagé correspondant ; le walled garden couvrant tous les domaines de ressources du portail ; l'isolation des clients activée sur le SSID invité ; le VLAN dynamique activé dans les paramètres du SSID ; et le firmware PPSK en version 1.0.19 ou supérieure. Maîtrisez ces cinq éléments et vous obtiendrez un déploiement solide et évolutif qui servira votre établissement pendant des années. L'équipe d'intégration de Purple peut valider votre configuration avant le lancement, et la disponibilité de 99,999 % de la plateforme vous évite d'avoir à expliquer des pannes de portail aux clients de l'hôtel à deux heures du matin. Merci pour votre écoute. Pour plus de guides techniques sur les intégrations WiFi d'entreprise, visitez purple dot ai. Dans le prochain épisode, nous aborderons l'attribution dynamique de VLAN avec Microsoft Entra ID et la fonctionnalité SecurePass de Purple. À bientôt.