Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

📖 9 min de lecture📝 2,079 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Welcome to the Purple Technical Briefing Series. I'm your host, and today we're covering a deployment pattern that's becoming increasingly common across hospitality, retail, and multi-tenant properties: integrating Grandstream GWN access points with Purple's guest WiFi platform.

If you're an MSP, an in-house IT team, or a network architect who's been handed a Grandstream GWN deployment and asked to bolt on a branded captive portal with analytics, this episode is for you. We'll cover the full stack: guest splash page redirection, walled garden configuration, secure staff WiFi using 802.1X, and multi-tenant segmentation using Grandstream's Private Pre-Shared Key feature. Let's get into it.

---

First, some context. Grandstream's GWN series is a solid mid-market access point range. You've got the GWN7600 and GWN7630 for indoor deployments, the GWN7660 and GWN7664 for Wi-Fi 6 environments, and the GWN7610 as a ceiling-mount option for higher-density spaces. They're managed either through GWN Manager, which is an on-premise controller you install on a Linux or Windows server, or through GWN dot Cloud, which is Grandstream's cloud-hosted management platform, now rebranded as GDMS Networking.

The good news for MSPs is that both management platforms support captive portal configuration natively. You can build the portal policy, customise the splash page, and associate it with an SSID entirely within GWN Manager or GWN dot Cloud. But for enterprise deployments where you need GDPR-compliant data capture, marketing automation, and real-time analytics, you're going to replace that native portal with an external platform. That's where Purple comes in.

Purple operates as a cloud overlay. It sits above your hardware and provides the captive portal, the RADIUS authentication layer, the analytics engine, and the marketing tools. Purple supports 80,000 live venues and has processed 440 million logins in 2024 alone, so the platform is well-proven at scale. The integration with Grandstream GWN follows the same standards-based approach Purple uses across Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, and Ubiquiti UniFi.

---

Let's get into the technical architecture. The guest WiFi flow on Grandstream GWN with Purple works like this.

A guest connects to your guest SSID. Their device sends an HTTP request to any website. The GWN access point intercepts that request and issues an HTTP 302 redirect to the Purple portal URL. The guest lands on your branded splash page, hosted by Purple. They authenticate, whether that's via email, social login, SMS verification, or a custom form. Purple's platform validates that authentication, records the consent and data in line with GDPR, and then sends a RADIUS Access-Accept back to the GWN access point. The AP grants internet access. The whole flow takes around three to five seconds from connection to internet access.

Now, the key configuration components on the Grandstream side are: the captive portal policy, the splash page settings, the walled garden, and the SSID association. Let me walk through each one.

---

Step one: configure the captive portal policy in GWN Manager or GWN dot Cloud.

Navigate to Captive Portal, then Policy List, and create a new policy. Give it a descriptive name, something like "Purple-Guest-Portal". Set the Authentication Type to RADIUS Server. You'll then see fields for RADIUS Server Address, RADIUS Server Port, and RADIUS Server Secret. Enter Purple's RADIUS server IP address and port 1812 for authentication. Your shared secret comes from the Purple portal admin console, under the venue's hardware configuration section. Set the RADIUS Authentication Method to PAP, which is what Purple's captive portal flow uses.

Under Landing Page, set this to Redirect to External Page, and enter your Purple portal redirect URL. This is the URL that guests will be sent to when they first connect. Again, this comes from your Purple admin console.

Set the Expiration time to match your venue's session policy. For a hotel, 24 hours is typical. For a conference venue, you might set this to the duration of the event. For a retail environment, two to four hours is common.

Enable Failsafe Mode. This is important. If the GWN access point can't reach Purple's RADIUS server, failsafe mode grants internet access anyway rather than blocking all guests. For most hospitality and retail deployments, a brief RADIUS outage should not result in all guests losing connectivity.

---

Step two: configure the walled garden.

The walled garden is the list of domains and IP addresses that guests can access before they've authenticated through the portal. If you get this wrong, guests will see a blank page or a broken portal, and they'll blame the WiFi.

In GWN Manager, the walled garden is configured under the captive portal policy as Pre-Authentication Rules. Add the following domains as allow rules: the Purple portal domain, which is portal dot purple dot ai; any CDN domains that Purple's splash page loads assets from, including cloudfront dot net using a wildcard entry; Apple's captive portal detection endpoint, captive dot apple dot com; and Google's connectivity check endpoint, connectivitycheck dot gstatic dot com.

Purple's support portal has a dynamic walled garden generator at support dot purple dot ai. Select Grandstream from the hardware list, choose your authentication methods, and it generates the exact domain list you need. Use that list. Don't try to build it manually from scratch.

One decision you need to make: do you include captive dot apple dot com in the walled garden or not? If you include it, iOS devices will not show the Captive Network Assistant mini-browser automatically. Guests will need to open a browser manually to reach the portal. If you exclude it, iOS fires the mini-browser automatically when the device connects. For most hospitality deployments, you want the mini-browser to appear, so leave captive dot apple dot com out of the walled garden.

---

Step three: configure the SSID.

In GWN Manager, navigate to SSID and edit your guest SSID. Enable Captive Portal and select the policy you just created. Set the SSID to WPA2-Personal with a simple open password, or configure it as an open SSID if your venue prefers that approach. The security in this flow comes from the portal authentication, not the WiFi password.

Enable Client Isolation. This prevents guests from seeing each other's devices on the network. It's a basic security requirement and a PCI DSS consideration if your venue processes card payments on the same infrastructure.

Assign the SSID to your guest VLAN. VLAN 10 is a common convention for guest traffic. Make sure your upstream switch and router are configured to route that VLAN to the internet with appropriate firewall rules.

---

Now let's talk about Staff WiFi using 802.1X.

IEEE 802.1X is the standard for port-based network access control. For staff WiFi, it replaces the shared pre-shared key with per-user credentials, validated against an identity provider. When a staff member connects, the GWN access point acts as the authenticator, their device is the supplicant, and Purple's RADIUS server is the authentication server.

In GWN Manager, create a separate SSID for staff. Set the Security Mode to WPA2-Enterprise, which enables 802.1X. Configure the RADIUS server settings with Purple's RADIUS IP, port 1812, and your shared secret. Enable RADIUS Accounting on port 1813 so you get a full audit trail of who connected, when, and for how long. This audit trail is what you need for GDPR compliance and for responding to any security incidents.

For the EAP method, you have two main options. EAP-TLS uses digital certificates on both the server and the client device. It's the most secure option, but it requires a Mobile Device Management platform to push certificates to staff devices. If you have Microsoft Intune or Jamf, EAP-TLS is the right choice.

PEAP, which stands for Protected EAP, uses a username and password inside an encrypted TLS tunnel. It's easier to deploy, particularly for BYOD environments, but you must ensure staff are trained not to accept certificate warnings. A rogue access point can harvest PEAP credentials if users click through certificate errors.

Enable Dynamic VLAN assignment in the SSID settings. When this is on, the RADIUS server can return a VLAN ID in the Access-Accept packet, and the GWN AP will place the connecting device on that VLAN. This means you can have a single staff SSID but automatically segment IT staff onto VLAN 20, management onto VLAN 21, and point-of-sale devices onto VLAN 40, all based on the user's identity in Purple's directory.

The RADIUS attributes for dynamic VLAN are: Tunnel-Type set to VLAN, which is attribute value 13; Tunnel-Medium-Type set to IEEE-802, which is attribute value 6; and Tunnel-Private-Group-ID set to the VLAN number as a string. These three attributes in the Access-Accept packet are all the GWN AP needs to steer the device to the correct VLAN.

---

Now for the feature that's particularly relevant for multi-tenant properties: Grandstream Private Pre-Shared Keys, or PPSK.

PPSK is a mechanism that allows a single SSID to support multiple unique passwords, each mapped to a different VLAN or network policy. Think of a build-to-rent apartment block, a co-working space, or a serviced office building. You want one SSID visible to everyone, but each tenant gets their own password that puts them on their own isolated network segment.

In GWN Manager, PPSK is configured under the SSID settings. Set the Security Mode to WPA2-Personal, then enable PPSK. You can then create individual PSK entries, each with a unique password and an associated VLAN ID. When a device connects using Tenant A's password, the AP places it on VLAN 31. When a device uses Tenant B's password, it lands on VLAN 32. The tenants share the same SSID but are completely isolated from each other at the network layer.

For larger deployments, Grandstream also supports PPSK with RADIUS backend. In this mode, the AP sends the PSK as a RADIUS attribute to the authentication server, which validates it and returns the appropriate VLAN assignment. This is where Purple's Identity-Based Networks feature integrates directly. Purple can manage the PPSK database, validate keys against its directory, and return dynamic VLAN assignments, giving you centralised management of hundreds of tenant credentials from a single platform.

The RADIUS attribute used for PPSK validation is typically the Tunnel-Password attribute, or a vendor-specific attribute depending on firmware version. Check Grandstream's release notes for your specific firmware, as the attribute mapping has evolved across GWN Manager versions.

---

Let me cover the two most common failure modes I see in Grandstream deployments with external portals.

The first is the redirect not firing. A guest connects to the SSID, opens a browser, and gets a "site can't be reached" error instead of the portal page. The most likely cause is a walled garden misconfiguration. The portal page itself is being blocked pre-authentication. Open your browser developer tools on a test device connected to the guest SSID, look at the network tab, and identify which requests are failing. Add those domains to your pre-authentication rules.

The second failure mode is RADIUS timeout. The AP sends an Access-Request to Purple's RADIUS server and gets no response. This usually means a firewall is blocking UDP port 1812 outbound from the AP's management VLAN to Purple's RADIUS IP range. Check your firewall rules. Purple's RADIUS IP addresses are documented in the Purple admin console under venue settings. Make sure both the primary and secondary RADIUS IPs are permitted.

A third one worth mentioning: Dynamic VLAN not working. Staff connect and land on the wrong VLAN. The most common cause is that Enable Dynamic VLAN is not checked in the SSID settings in GWN Manager. It's a single checkbox that's easy to miss. The second cause is a shared secret mismatch. If the shared secret on the AP doesn't match the one configured in Purple, the AP silently drops the RADIUS response and falls back to the default VLAN.

---

Let me give you two real-world scenarios to make this concrete.

Scenario one: a 120-room hotel. The hotel runs GWN7660 access points managed through GWN dot Cloud. They need a branded guest portal for guests, a secure staff network for front desk and housekeeping, and a separate management VLAN for the property management system.

The configuration uses three SSIDs: Guest WiFi on VLAN 10 with the Purple captive portal policy; Staff WiFi on VLAN 20 with WPA2-Enterprise and PEAP authentication against Purple's RADIUS; and a hidden Management SSID on VLAN 30 for PMS terminals. Dynamic VLAN assignment on the staff SSID means housekeeping devices land on VLAN 21 with restricted internet access, while front desk devices land on VLAN 20 with full access. Purple's analytics dashboard shows the hotel operator daily guest counts, session durations, and opt-in rates for marketing, giving the marketing team the data they need to run targeted campaigns.

Scenario two: a 40-unit build-to-rent apartment block. The operator runs GWN7630 access points with GWN Manager on-premise. Each apartment needs its own isolated network. The operator uses PPSK with RADIUS backend. Purple manages 40 unique tenant credentials, each mapped to a dedicated VLAN. Residents connect to the single "BuildingConnect" SSID using their unit's password. Purple's portal handles the initial onboarding flow, captures resident consent, and provides the operator with occupancy analytics and engagement data. When a resident moves out, the operator revokes their PPSK credential in Purple's admin console, and access is immediately terminated. No need to change the SSID password or reconfigure the APs.

---

Rapid fire. Three questions I get asked constantly on Grandstream deployments.

Question one: Can I use GWN dot Cloud instead of GWN Manager for the Purple integration? Yes. The captive portal configuration in GWN dot Cloud is functionally identical to GWN Manager. The menu paths are the same. The RADIUS and walled garden settings are in the same locations. GWN dot Cloud is the better choice for MSPs managing multiple sites, since you get a single pane of glass across all deployments.

Question two: Does Purple support Grandstream's native analytics alongside its own? Purple replaces the native captive portal analytics with its own, more detailed dataset. You get session counts, dwell times, opt-in rates, demographic data from form fields, and integration with marketing platforms. The native GWN analytics for RF performance, AP health, and client counts remain available in GWN Manager or GWN dot Cloud alongside Purple's portal analytics.

Question three: What firmware version do I need on the GWN APs for PPSK with RADIUS? PPSK with RADIUS backend requires GWN firmware 1.0.19 or higher on the GWN76xx series. Check Grandstream's release notes before deployment. Running outdated firmware is the single most common cause of unexpected behaviour in PPSK deployments.

---

To wrap up. Integrating Grandstream GWN access points with Purple is a straightforward deployment when you follow the right sequence. Configure your RADIUS server settings in the captive portal policy first. Build your walled garden using Purple's domain generator tool. Associate the policy with your guest SSID and enable client isolation. For staff WiFi, enable WPA2-Enterprise with dynamic VLAN assignment. For multi-tenant properties, use PPSK with RADIUS backend and manage credentials centrally through Purple.

The five things to get right: RADIUS on UDP 1812 with a matching shared secret; the walled garden covering all portal asset domains; client isolation enabled on the guest SSID; dynamic VLAN enabled in the SSID settings; and PPSK firmware at version 1.0.19 or higher.

Get those five right, and you have a solid, scalable deployment that will serve your venue for years. Purple's onboarding team can validate your configuration before go-live, and the platform's 99.999% uptime means you're not going to be explaining portal outages to hotel guests at two in the morning.

Thanks for listening. For more technical guides on enterprise WiFi integrations, visit purple dot ai. Next episode, we'll be covering dynamic VLAN assignment with Microsoft Entra ID and Purple's SecurePass feature. Until then.

Points clés à retenir

✓Grandstream GWN access points integrate with Purple via RADIUS (UDP 1812/1813) and HTTP 302 redirection to deliver secure, branded captive portals for guest WiFi.
✓The walled garden (Pre-Authentication Rules) must include all Purple portal domains and CDN assets; use Purple's dynamic generator tool at support.purple.ai rather than building the list manually.
✓Always copy and paste the RADIUS shared secret directly from the Purple admin console - a single character mismatch causes silent packet drops that present as timeouts, not authentication errors.
✓Enable Dynamic VLAN in the SSID settings to allow Purple's RADIUS server to steer authenticated staff to the correct network segment using Tunnel-Type, Tunnel-Medium-Type, and Tunnel-Private-Group-ID attributes.
✓Grandstream PPSK with RADIUS backend enables multi-tenant isolation from a single SSID; requires GWN firmware 1.0.19 or higher and centralised credential management through Purple.
✓Always enable Client Isolation on guest SSIDs to prevent lateral movement between devices and meet PCI DSS requirements for venues processing card payments.
✓Purple's 99.999% uptime and ISO 27001, GDPR, CCPA, and Cyber Essentials certifications make it a compliant choice for enterprise and public-sector deployments on Grandstream hardware.

Résumé exécutif

Le déploiement d'un réseau sans fil haute performance dans les entreprises exige un équilibre entre une expérience utilisateur fluide et une sécurité technique robuste. Pour les organisations utilisant les architectures Grandstream GWN - de l'hôtellerie et du commerce de détail aux propriétés multi-tenants - le Captive Portal Grandstream sert de passerelle principale pour l'engagement des utilisateurs et le contrôle d'accès. Ce guide fournit un plan d'action étape par étape pour intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et de WiFi Analytics de Purple.

En dépassant les simples clés pré-partagées (PSK) pour passer à une authentification basée sur RADIUS et à des réseaux basés sur l'identité (Identity-Based Networks), vous pouvez offrir un accès sécurisé et segmenté aux invités, au personnel et aux locataires. Ce guide couvre les composants de configuration critiques : les paramètres RADIUS AAA, la redirection HTTP 302, les exceptions de walled garden, le routage VLAN dynamique et l'isolation multi-tenant par clé privée pré-partagée (PPSK). Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple), ce qui prouve la robustesse de la plateforme à grande échelle.

Analyse technique approfondie

L'architecture d'intégration

L'intégration entre le matériel Grandstream GWN et Purple repose sur les protocoles standard de l'industrie RADIUS et de redirection HTTP. Lorsqu'un utilisateur se connecte au SSID invité, le point d'accès GWN intercepte sa requête HTTP initiale et émet une redirection HTTP 302 vers l'URL du Captive Portal hébergé par Purple. Une fois que l'utilisateur s'est authentifié - par e-mail, connexion sociale, SMS ou formulaire personnalisé - Purple valide la session et renvoie un paquet RADIUS Access-Accept au point d'accès sur le port UDP 1812, accordant ainsi l'accès au réseau. Le service RADIUS Accounting s'exécute sur le port UDP 1813, fournissant une piste d'audit complète des sessions pour la conformité GDPR et PCI DSS.

Les points d'accès Grandstream GWN sont gérés via l'une des deux plateformes suivantes. GWN Manager est un contrôleur sur site installé sur un serveur Linux ou Windows, adapté aux déploiements sur site unique et aux organisations ayant des exigences de souveraineté des données. GDMS Networking (anciennement GWN.Cloud) est la plateforme de gestion hébergée dans le cloud de Grandstream, privilégiée par les MSP gérant plusieurs sites à partir d'une interface unique. Les deux plateformes exposent des options de configuration de Captive Portal et de SSID identiques.

Pour les réseaux du personnel et des locataires, l'architecture passe à l'IEEE 802.1X et au PPSK. Dans un déploiement 802.1X, le point d'accès agit comme authentificateur, transmettant les messages EAP (Extensible Authentication Protocol) entre l'appareil connecté et le serveur RADIUS de Purple. Purple valide les identifiants par rapport à son annuaire et peut renvoyer des attributs spécifiques au fournisseur (VSA) pour orienter dynamiquement l'appareil vers un VLAN spécifique. C'est le principe même de l'Identity-Based Networking : un seul SSID, plusieurs segments de réseau, le tout déterminé par l'identité de l'utilisateur.

Pour les environnements multi-tenants, la fonctionnalité PPSK de Grandstream permet à un seul SSID de prendre en charge plusieurs mots de passe uniques. Lorsqu'il est intégré à un backend RADIUS, le point d'accès envoie la clé PSK saisie à Purple pour validation, permettant une gestion centralisée des identifiants et une segmentation dynamique du réseau sans diffuser des dizaines de SSID. Le PPSK avec backend RADIUS nécessite la version 1.0.19 ou supérieure du firmware GWN sur la série GWN76xx.

Attributs RADIUS pour le routage VLAN dynamique

L'attribution dynamique de VLAN est contrôlée par trois attributs RADIUS standard de l'IETF renvoyés dans le paquet Access-Accept. Ceux-ci doivent être configurés dans les profils d'utilisateurs RADIUS de Purple pour chaque rôle ou locataire :

Attribut	Valeur	Description
Tunnel-Type (64)	13 (VLAN)	Spécifie le type de tunnel comme VLAN
Tunnel-Medium-Type (65)	6 (IEEE-802)	Spécifie le support comme IEEE 802
Tunnel-Private-Group-ID (81)	ex. "20"	L'ID du VLAN cible sous forme de chaîne

Les trois attributs doivent être présents dans la réponse Access-Accept. Si l'un d'eux est manquant, le point d'accès GWN ignorera l'instruction de routage VLAN et placera l'appareil sur le VLAN par défaut.

Guide de mise en œuvre

Étape 1 : Configurer la politique de Captive Portal

Que vous utilisiez GWN Manager ou GDMS Networking, accédez à Captive Portal > Policy List et créez une nouvelle politique. Le tableau suivant résume les paramètres requis pour une intégration avec Purple :

Champ	Valeur	Notes
Policy Name	Purple-Guest-Portal	Utilisez un nom descriptif
Authentication Type	RADIUS Server	Active le flux d'authentification RADIUS
RADIUS Server Address	[Depuis la console d'administration Purple]	IP RADIUS principale
RADIUS Server Port	1812	Port d'authentification RADIUS standard
RADIUS Server Secret	[Depuis la console d'administration Purple]	Copier et coller exactement
RADIUS Auth Method	PAP	Requis pour le Captive Portal Purple
Landing Page	Redirect to External Page	Active la redirection vers un portail externe
Redirect URL	[Depuis la console d'administration Purple]	Votre URL de portail unique
Expiration	24h (hôtellerie) / 4h (commerce de détail)	Doit correspondre à votre politique de session
Failsafe Mode	Enabled	Accorde l'accès si le serveur RADIUS est injoignable

Activez le mode Failsafe. Si le point d'accès GWN ne peut pas joindre le serveur RADIUS de Purple, le mode Failsafe accorde l'accès à Internet plutôt que de bloquer tous les invités. Pour les déploiements dans l'hôtellerie et le commerce de détail, une brève interruption de RADIUS devne devrait pas entraîner une perte de connectivité pour tous les clients.

Étape 2 : Configurer le walled garden

Le walled garden définit les domaines auxquels un appareil peut accéder avant de s'authentifier. Un walled garden incomplet est la cause la plus fréquente des échecs de chargement du portail. Dans GWN Manager, le walled garden est configuré sous la politique de Captive Portal en tant que Pre-Authentication Rules.

Au minimum, vous devez inclure : le domaine du portail Purple (portal.purple.ai), les domaines d'actifs CDN (*.cloudfront.net) et le point de terminaison de test de connectivité de Google (connectivitycheck.gstatic.com). Pour la connexion via les réseaux sociaux, ajoutez les domaines des plateformes sociales concernées.

La décision concernant captive.apple.com est délibérée. Excluez-le pour déclencher automatiquement le mini-navigateur Captive Network Assistant (CNA) d'iOS lorsqu'un appareil se connecte. Incluez-le si vous préférez que les clients ouvrent un navigateur manuellement. Pour la plupart des déploiements dans le secteur de l' hôtellerie , l'exclure offre une meilleure expérience client.

Utilisez le générateur de walled garden dynamique de Purple sur support.purple.ai. Sélectionnez Grandstream dans la liste du matériel, choisissez vos méthodes d'authentification, et l'outil générera la liste exacte des domaines dont vous avez besoin. Ne créez pas la liste manuellement.

Étape 3 : Associer le Captive Portal au SSID invité

Accédez aux paramètres du SSID et modifiez votre réseau invité. Activez la fonctionnalité Captive Portal et sélectionnez la politique que vous avez créée. Attribuez le SSID à votre VLAN invité dédié (le VLAN 10 est la convention courante). Activez l'Isolation des clients (Client Isolation) pour empêcher les appareils invités de communiquer entre eux - il s'agit d'une exigence de sécurité de base et d'une considération PCI DSS pour tout établissement traitant des paiements par carte.

Étape 4 : Configurer un WiFi personnel sécurisé avec 802.1X

Créez un SSID distinct pour le personnel. Définissez le mode de sécurité sur WPA2-Enterprise pour activer la norme IEEE 802.1X. Configurez le serveur RADIUS pour pointer vers Purple sur le port 1812, et activez le RADIUS Accounting sur le port 1813. Ces données de comptabilisation fournissent la piste d'audit requise pour la conformité au GDPR et la réponse aux incidents de sécurité.

Pour la méthode EAP, choisissez en fonction de vos capacités de gestion des appareils. EAP-TLS utilise une authentification mutuelle par certificat - l'option la plus sécurisée, éliminant totalement le vol d'identifiants, mais nécessitant une plateforme de gestion des appareils mobiles (Mobile Device Management - Microsoft Intune ou Jamf) pour déployer les certificats sur les appareils. PEAP utilise un nom d'utilisateur et un mot de passe au sein d'un tunnel TLS chiffré, plus facile à déployer pour les environnements BYOD mais nécessitant de former le personnel aux avertissements de certificat.

Activez le VLAN dynamique dans les paramètres du SSID. Le serveur RADIUS de Purple renverra les trois attributs de tunnel pour diriger chaque appareil authentifié vers son VLAN attribué. Le personnel informatique est dirigé vers le VLAN 20, la direction vers le VLAN 21, les terminaux de point de vente vers le VLAN 40 - le tout à partir d'un seul SSID, entièrement géré par l'identité.

Pour plus de conseils sur les politiques de réseau du personnel, consultez Conditions d'utilisation du WiFi du personnel : Essentiels juridiques et de conformité .

Étape 5 : Configurer le PPSK multi-locataire

Pour les environnements multi-locataires, créez un SSID avec une sécurité WPA2-Personal et activez le PPSK. Pour utiliser Purple comme backend RADIUS pour la validation PPSK, configurez les paramètres du serveur RADIUS dans la section PPSK du SSID. Purple gère la base de données PSK, valide chaque clé et renvoie l'attribution de VLAN appropriée.

Chaque locataire reçoit un mot de passe unique. Lorsqu'ils se connectent, l'AP envoie la PSK à Purple, qui renvoie l'ID de VLAN correct. Le locataire A est dirigé vers le VLAN 31, le locataire B vers le VLAN 32. Ils partagent le même SSID mais sont complètement isolés au niveau de la couche réseau. Lorsqu'un locataire déménage, révoquez ses identifiants dans la console d'administration de Purple. L'accès prend fin immédiatement. Aucune reconfiguration de l'AP n'est requise.

Pour une compréhension plus approfondie de l'architecture de sécurité WiFi d'entreprise, consultez Sécurité WiFi d'entreprise : Un guide complet pour 2026 .

Bonnes pratiques

Configurez toujours le RADIUS Accounting. Activez la comptabilisation sur le port 1813 pour les SSID invités et du personnel. Les données de comptabilisation alimentent le tableau de bord analytique de Purple avec la durée des sessions et la fréquence des visites, et fournissent la piste d'audit requise par le GDPR. Sans comptabilisation, vous disposez d'enregistrements d'authentification mais d'aucun enregistrement de session.

Copiez et collez le secret partagé. Un secret partagé RADIUS incorrect amène le point d'accès à rejeter silencieusement les paquets. L'AP constate un délai d'attente dépassé plutôt qu'un échec d'authentification. Il s'agit de la mauvaise configuration la plus courante dans les nouveaux déploiements. Copiez le secret directement depuis la console d'administration de Purple.

Utilisez le générateur de walled garden de Purple. Les pages de portail modernes chargent des ressources à partir de plusieurs domaines CDN, de SDK de connexion sociale et de scripts analytiques. La création manuelle du walled garden n'est pas fiable. Le générateur sur support.purple.ai prend en compte tous les domaines requis en fonction de vos méthodes d'authentification.

Isolez le trafic invité au niveau du point d'accès. L'isolation des clients (Client Isolation) est une base non négociable pour tout SSID invité. Elle empêche les mouvements latéraux entre les appareils invités et constitue une exigence de la norme PCI DSS pour les établissements qui traitent des paiements par carte sur la même infrastructure réseau.

Validez le firmware avant de déployer le PPSK avec RADIUS. Le PPSK avec backend RADIUS nécessite le firmware GWN 1.0.19 ou supérieur. L'exécution d'un firmware obsolète est la cause la plus fréquente de comportements inattendus dans les déploiements PPSK. Vérifiez la version du firmware avant le déploiement, pas après.

Pour les déploiements dans le secteur du commerce de détail , assurez-vous que le VLAN de votre SSID invité est protégé par un pare-feu de tout segment de réseau de paiement. Pour les environnements de santé , assurez-vous que le WiFi des patients ou des visiteurs est isolé des systèmes cliniques. Pour les hubs de transport , envisagez des politiques d'expiration de session alignées sur les temps d'attente moyens.

Dépannage et atténuation des risques

Symptôme : La page d'accueil ne se charge pas et renvoie une erreur « site inaccessible ». Le walled garden bloque les ressources de la page du portail. Connectez un appareil de test, ouvrez les outils de développement du navigateur, inspectez l'onglet réseau et identifiez les requêtes bloquées. Ajoutez les domaines défaillants aux règles de pré-authentification (Pre-Authentication Rules) dans la politique de Captive Portal.

Symptôme : Les invités s'authentifient mais le point d'accès expire et refuse l'accès à Internet. Soit un pare-feu bloque le flux sortant UDP 1812 depuis le VLAN de gestion du point d'accès vers la plage d'adresses IP RADIUS de Purple, soit le secret partagé ne correspond pas. Vérifiez d'abord les règles du pare-feu. Vérifiez ensuite que le secret partagé correspond exactement des deux côtés.

Symptôme : Les appareils du personnel se retrouvent sur le VLAN par défaut au lieu de leur VLAN attribué. La case à cocher « Enable Dynamic VLAN » n'est pas cochée dans les paramètres SSID. Il s'agit d'une simple case à cocher, facile à manquer. La deuxième cause est une non-correspondance du secret partagé, ce qui conduit le point d'accès à ignorer silencieusement la réponse RADIUS.

Symptôme : Les appareils iOS n'affichent pas le mini-navigateur du Captive Portal. Le domaine captive.apple.com se trouve dans le walled garden. iOS teste ce domaine lors de la connexion. S'il reçoit une réponse 200, il suppose que l'accès à Internet est disponible et ne déclenche pas le CNA. Retirez-le du walled garden pour rétablir le comportement automatique du CNA.

Symptôme : Les utilisateurs (tenants) PPSK se retrouvent sur le mauvais VLAN. Vérifiez que le firmware du GWN est en version 1.0.19 ou supérieure. Confirmez que le backend RADIUS PPSK est activé et que le secret partagé correspond. Vérifiez que le profil utilisateur RADIUS de Purple pour la clé PSK renvoie le bon attribut Tunnel-Private-Group-ID.

ROI et impact commercial

L'intégration du matériel Grandstream GWN avec Purple transforme le WiFi d'un coût perdu en un actif commercial mesurable. En remplaçant les réseaux ouverts génériques par des Captive Portals authentifiés, les établissements capturent des données de première main (first-party) et stimulent la croissance des programmes de fidélité. Purple a collecté 29 milliards de points de données sur son réseau (données internes de Purple), offrant aux opérateurs les indicateurs de référence pour mesurer leurs propres performances.

Dans les environnements de l' hôtellerie , les analyses de Purple offrent une visibilité sur la fréquence des visites des clients, les temps de séjour et les taux d'adhésion (opt-in). Un exploitant hôtelier utilisant l'offre Engage de Purple peut segmenter les clients réguliers pour des campagnes ciblées, stimulant ainsi les réservations directes et réduisant la dépendance aux agences de voyage en ligne (OTA). Dans le secteur du commerce de détail , les analyses de fréquentation issues des données WiFi permettent aux directeurs de magasin de corréler les flux de passage avec les performances commerciales.

La mise en œuvre de l'802.1X et du PPSK réduit la charge de travail du support informatique en automatisant le contrôle d'accès au réseau. L'élimination des mots de passe partagés supprime le coût opérationnel lié à la rotation des mots de passe et le risque de sécurité lié au partage d'identifiants. Pour les opérateurs multi-locataires, le PPSK associé à la gestion centralisée de Purple permet d'intégrer un nouveau locataire en quelques minutes, et non plus en quelques heures.

La disponibilité de 99,999 % de Purple (données internes de Purple) et ses certifications ISO 27001, GDPR, CCPA et Cyber Essentials garantissent que la plateforme répond aux exigences de conformité des opérateurs d'entreprise et du secteur public les plus exigeants. Pour une vue complète des capacités d'analyse du WiFi invité, consultez Analyses WiFi .

Définitions clés

Captive portal

A web page that intercepts unauthenticated HTTP traffic from a connected device, forcing the user to interact or authenticate before granting internet access. The Grandstream captive portal uses HTTP 302 redirection to send users to an external portal URL.

The primary mechanism for guest data capture, terms of service acceptance, and access control in public venues.

RADIUS

Remote Authentication Dial-In User Service; a networking protocol operating over UDP that provides centralised Authentication, Authorization, and Accounting (AAA) management. Authentication runs on port 1812, accounting on port 1813.

The backend engine that validates credentials for both captive portals and 802.1X enterprise networks. Purple operates RADIUS servers that GWN access points communicate with directly.

Walled garden

A predefined list of IP addresses and domains that a device can access before completing the captive portal authentication process. Configured as Pre-Authentication Rules in GWN Manager.

Essential for allowing devices to load the portal page assets, CDN resources, social login endpoints, and OS captive portal detection probes.

IEEE 802.1X

An IEEE standard for port-based network access control that provides an authentication mechanism for devices connecting to a LAN or WLAN. Uses EAP to exchange credentials between the device (supplicant) and the RADIUS server (authentication server) via the access point (authenticator).

Replaces shared passwords with per-user credentials for secure staff and corporate WiFi access. Required for GDPR and PCI DSS compliant staff networks.

PPSK

Private Pre-Shared Key; a feature that allows a single SSID to support multiple unique passwords, each tied to specific network policies or VLANs. Grandstream GWN supports PPSK with local storage or RADIUS backend validation.

Used in multi-tenant environments like apartments, coworking spaces, and serviced offices to isolate users without broadcasting multiple SSIDs.

Dynamic VLAN assignment

The process where a RADIUS server returns three specific attributes in the Access-Accept packet (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) to steer an authenticated device to a designated VLAN. Must be explicitly enabled in GWN SSID settings.

Allows IT teams to consolidate SSIDs while maintaining strict network segmentation for different user groups, departments, or tenants.

Client isolation

A wireless security feature that prevents devices connected to the same access point from communicating directly with each other at Layer 2.

A mandatory configuration for guest networks to protect users from peer-to-peer attacks and meet PCI DSS requirements for venues processing card payments.

EAP-PEAP

Protected Extensible Authentication Protocol; an 802.1X EAP method that encapsulates the authentication exchange within an encrypted TLS tunnel using a username and password. The outer TLS tunnel protects the inner credentials from interception.

Commonly used for BYOD staff networks where deploying client certificates (EAP-TLS) is not operationally feasible. Requires staff training on certificate validation to prevent rogue AP attacks.

Failsafe mode

A GWN captive portal setting that grants internet access to connecting devices if the access point cannot reach the configured RADIUS server. Prevents a RADIUS outage from blocking all guest access.

Recommended for hospitality and retail deployments where guest connectivity is business-critical and a brief RADIUS interruption should not result in a complete service outage.

GWN Manager

Grandstream's on-premise, enterprise-grade management platform for GWN series access points. Installed on a local Linux or Windows server, it provides full captive portal, SSID, RADIUS, and PPSK configuration.

Preferred for single-site deployments and organisations with data sovereignty requirements. GDMS Networking is the cloud-hosted equivalent for multi-site MSP deployments.

Exemples concrets

A 120-room hotel needs to deploy a branded guest portal for guests, a secure staff network with department-level VLAN segmentation for housekeeping and front desk, and a separate management VLAN for the property management system. The hotel runs Grandstream GWN7660 access points managed through GDMS Networking.

Configure three SSIDs in GDMS Networking. First, create 'Guest WiFi' assigned to VLAN 10. Create a captive portal policy with Authentication Type set to RADIUS Server, pointing to Purple's RADIUS IP on port 1812 with the shared secret from the Purple admin console. Set the Landing Page to Redirect to External Page with the Purple portal URL. Enable Failsafe Mode and Client Isolation. Second, create 'Staff WiFi' with WPA2-Enterprise (802.1X) security. Configure RADIUS on port 1812 and Accounting on port 1813. Enable Dynamic VLAN. In Purple's directory, configure housekeeping accounts to return Tunnel-Private-Group-ID = 21 and front desk accounts to return VLAN 20. Third, create a hidden 'Management' SSID on VLAN 30 with WPA2-Personal for PMS terminals. Build the walled garden using Purple's generator tool, excluding captive.apple.com to trigger the iOS CNA.

Commentaire de l'examinateur : This architecture effectively segments three distinct user groups while minimising SSID overhead. Using dynamic VLAN steering for staff eliminates the need to broadcast separate SSIDs for each department, reducing RF interference and simplifying the wireless environment. Purple's analytics dashboard provides the hotel operator with daily guest counts, session durations, and marketing opt-in rates, giving the marketing team actionable data without any additional infrastructure.

A 40-unit build-to-rent apartment block requires isolated network access for each tenant, with the ability to instantly revoke access when a tenant moves out. The operator runs GWN7630 access points with GWN Manager on-premise and wants to minimise the number of visible SSIDs in the building.

Deploy a single SSID named 'BuildingConnect' with WPA2-Personal security and enable PPSK with RADIUS backend. Ensure GWN firmware is at version 1.0.19 or higher. Configure the RADIUS server settings in the PPSK section to point to Purple. In Purple's admin console, create 40 unique PSK credentials, each mapped to a VLAN (e.g., VLAN 101 for Unit 101, VLAN 102 for Unit 102). When a resident connects using their unit's password, the GWN AP sends the PSK to Purple, which validates it and returns Tunnel-Private-Group-ID = 101. The resident lands on their isolated VLAN. When a resident moves out, revoke the credential in Purple's admin console. Access terminates immediately without any AP reconfiguration.

Commentaire de l'examinateur : PPSK with a RADIUS backend is the optimal solution for multi-tenant environments. It provides the simplicity of a standard WiFi password for residents while delivering enterprise-grade isolation. Centralised credential management in Purple means the operator can scale to hundreds of units without managing individual SSID configurations. The instant revocation capability is a significant operational advantage over traditional PSK deployments, where changing a shared password would disrupt all connected residents.

Questions d'entraînement

Q1. You have configured the captive portal policy in GWN Manager with the correct Purple RADIUS IP and shared secret, but guests are reporting a 'site cannot be reached' error when their browser opens after connecting to the SSID. What is the most likely cause and how do you diagnose it?

Conseil : Consider what controls which domains a device can access before it has authenticated through the portal.

Voir la réponse type

The walled garden (Pre-Authentication Rules) is incomplete or misconfigured. The access point is blocking the device from reaching the Purple portal domain or the CDN assets the portal page loads. To diagnose: connect a test device to the guest SSID, open browser developer tools, navigate to the network tab, and attempt to load the portal URL. Identify which requests return connection errors. Add those domains to the Pre-Authentication Rules. Use Purple's walled garden generator at support.purple.ai to generate the complete domain list for Grandstream hardware.

Q2. Your hotel wants iOS guests to automatically see the captive portal mini-browser as soon as they connect to the guest WiFi, without needing to open a browser manually. How do you configure the walled garden to achieve this?

Conseil : Consider how iOS determines whether a network has internet access when it first connects.

Voir la réponse type

You must exclude captive.apple.com from the walled garden. When an iOS device connects to a network, it probes captive.apple.com. If the probe receives a 200 OK response (meaning the domain is accessible), iOS assumes the network has internet access and does not trigger the Captive Network Assistant mini-browser. If the probe is blocked or redirected, iOS recognises the network as captive and automatically opens the CNA. By keeping captive.apple.com out of the walled garden, the probe is intercepted and redirected, triggering the CNA automatically.

Q3. A staff member connects to the 802.1X SSID using their credentials. Purple's authentication logs show a successful Access-Accept response with the correct VLAN 20 attributes. However, the staff member is placed on VLAN 1 (the default). What GWN Manager setting needs to be checked?

Conseil : The RADIUS server is correctly authorising the user and returning the VLAN attributes. The issue is on the access point side.

Voir la réponse type

The 'Enable Dynamic VLAN' checkbox in the SSID settings within GWN Manager is not ticked. Even when Purple returns the correct Tunnel-Type, Tunnel-Medium-Type, and Tunnel-Private-Group-ID attributes in the Access-Accept packet, the GWN access point will ignore them unless Dynamic VLAN is explicitly enabled. Navigate to the SSID configuration, locate the Dynamic VLAN setting, enable it, and save. The staff member should then be placed on the correct VLAN on their next connection.

Q4. A build-to-rent operator wants to deploy PPSK with Purple as the RADIUS backend on their Grandstream GWN7630 access points running firmware 1.0.17. A tenant reports they can connect to the SSID but are placed on the wrong VLAN. What should you check first?

Conseil : There are two potential causes here: one is a firmware version issue, the other is a configuration issue.

Voir la réponse type

The first thing to check is the firmware version. PPSK with RADIUS backend requires GWN firmware 1.0.19 or higher on the GWN76xx series. Firmware 1.0.17 may not correctly support the RADIUS-backed PPSK VLAN assignment. Upgrade the firmware to 1.0.19 or higher before further troubleshooting. If the firmware is correct, verify that the PPSK RADIUS backend is enabled in the SSID settings, the shared secret matches Purple's configuration, and that Purple's RADIUS user profile for the specific PSK is returning the correct Tunnel-Private-Group-ID attribute.

Continuer la lecture de cette série

Intégration des routeurs et points d'accès DrayTek Vigor avec Purple WiFi

Ce guide fournit des instructions techniques étape par étape pour intégrer les routeurs DrayTek Vigor et les points d'accès VigorAP avec la plateforme cloud de Purple. Il couvre la configuration du Captive Portal DrayTek pour le WiFi Invité, l'authentification 802.1X pour un WiFi Collaborateurs sécurisé, la configuration du Walled Garden, et la configuration Multiple PSK (PPSK) de DrayTek pour la segmentation réseau multi-locataire avec attribution dynamique de VLAN. Conçu pour les installateurs informatiques et les administrateurs réseau de PME déployant Purple dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires.

Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le Captive Portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un guide de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.