Passer au contenu principal
Français

Guide d'intégration du Captive Portal MikroTik RouterOS et de Purple WiFi

Ce guide technique fournit des instructions étape par étape pour intégrer MikroTik RouterOS à la plateforme WiFi de Purple. Il couvre la configuration du captive portal pour le Guest WiFi, l'authentification 802.1X pour le Staff WiFi, et le WiFi multi-locataire (Multi-Tenant WiFi) utilisant des PSK privés pour une segmentation VLAN dynamique.

📖 4 min de lecture📝 872 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Guide d'intégration du Captive Portal MikroTik RouterOS et de Purple WiFi - Script de Podcast [INTRO - environ 1 minute] Bienvenue. Si vous gérez une infrastructure WiFi dans un hôtel, une chaîne de magasins, un stade ou un centre de conférences, et que vous utilisez MikroTik RouterOS, cet épisode est pour vous. Je vais vous expliquer exactement comment intégrer la Hotspot Gateway de MikroTik à la plateforme WiFi invité de Purple, en couvrant trois cas d'usage distincts : le WiFi invité avec un captive portal et un walled garden, le Staff WiFi sécurisé via 802.1X, et la ségrégation de réseau multi-locataire à l'aide de la fonctionnalité de clé pré-partagée privée (Private Pre-Shared Key) de MikroTik. Il ne s'agit pas d'une présentation théorique. À la fin de cet épisode, vous disposerez des commandes CLI spécifiques, des attributs RADIUS et de la logique de configuration nécessaires pour déployer ou auditer vous-même ces installations. C'est parti. [ANALYSE TECHNIQUE APPROFONDIE - environ 5 minutes] Première partie : Le Guest WiFi et le captive portal MikroTik. La Hotspot Gateway de MikroTik est le moteur de la redirection du WiFi invité sur RouterOS. Lorsqu'un visiteur se connecte à votre SSID invité, la Hotspot Gateway intercepte son trafic HTTP et le redirige vers une page de connexion (splash page) : c'est votre captive portal. Purple héberge cette splash page. Votre routeur MikroTik agit en tant que Hotspot Gateway et client RADIUS. La plateforme de Purple agit en tant que serveur RADIUS. Voici comment le configurer. Tout d'abord, lancez l'assistant Hotspot Setup depuis le menu IP dans Winbox ou via la CLI. Vous l'attribuerez à votre interface orientée invités, généralement une interface VLAN ou un port de pont (bridge). Définissez votre pool d'adresses locales, configurez vos serveurs DNS et donnez un nom DNS au hotspot. Ce nom DNS est ce que les invités voient dans leur navigateur avant de s'authentifier. Une fois l'assistant terminé, vous devez orienter le profil du hotspot vers le serveur RADIUS de Purple. Dans la CLI, cela ressemble à ceci : /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Ensuite, activez le RADIUS sur le profil du hotspot : /ip hotspot profile set default use-radius=yes Purple vous fournira l'adresse IP du RADIUS, le secret partagé et l'URL de la splash page lorsque vous configurerez votre site dans le tableau de bord Purple. Maintenant, le walled garden. C'est crucial. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à la splash page de Purple et aux fournisseurs OAuth que vous utilisez (Google, Facebook, etc.). Sans entrées dans le walled garden, la boucle de redirection se brise et les invités ne peuvent pas se connecter. Dans RouterOS, vous ajoutez des entrées de walled garden sous IP, Hotspot, Walled Garden. Vous devez ajouter le domaine de la splash page de Purple, tous les domaines de connexion sociale et tous les hôtes CDN qui hébergent les ressources de la page de connexion. La documentation de Purple répertorie les domaines exacts pour votre région. Ajoutez-les sous forme d'entrées IP ou d'entrées de nom d'hôte ; les entrées de nom d'hôte sont plus résilientes lorsque les adresses IP changent. Les attributs RADIUS clés que Purple renvoie lors d'une authentification réussie incluent le délai d'expiration de la session (session timeout), qui contrôle la durée pendant laquelle un invité reste connecté avant d'être invité à se reconnecter, et éventuellement une limite de bande passante à l'aide de l'attribut spécifique au fournisseur Mikrotik-Rate-Limit. Cela vous permet d'appliquer des politiques d'utilisation équitable par session d'invité directement depuis le tableau de bord Purple sans toucher à la configuration du routeur. Deuxième partie : Sécuriser le Staff WiFi avec le 802.1X. C'est ici que vous abandonnez complètement les mots de passe partagés. La norme IEEE 802.1X est la norme pour le contrôle d'accès réseau basé sur les ports. Sur une interface sans fil MikroTik, vous activez l'authentification WPA2-Enterprise ou WPA3-Enterprise, ce qui signifie que le point d'accès devient un authentificateur : il transmet les identifiants EAP de l'appareil du personnel à un serveur RADIUS, qui les valide et renvoie un Access-Accept ou un Access-Reject. Le produit Staff WiFi de Purple s'intègre à Microsoft Entra ID, Okta et Google Workspace en tant que fournisseurs d'identité. Lorsqu'un appareil du personnel se connecte, il présente un certificat ou un nom d'utilisateur et un mot de passe via PEAP-MSCHAPv2. Le serveur RADIUS de Purple valide cet identifiant par rapport à votre fournisseur d'identité en temps réel. Du côté de MikroTik, vous configurez le profil de sécurité sans fil avec les types d'authentification définis sur wpa2-eap, et vous orientez le client RADIUS vers le serveur de Purple avec service=wireless. Dans CAPsMAN (le système de gestion centralisé des points d'accès de MikroTik), vous définissez cela au niveau de la configuration de sécurité afin qu'il s'applique de manière cohérente sur tous vos points d'accès gérés. Le serveur RADIUS peut renvoyer l'attribut Mikrotik-Wireless-VLANID pour placer le personnel authentifié sur un VLAN spécifique. C'est ainsi que vous appliquez la segmentation du réseau : le personnel financier se retrouve sur le VLAN 10, les opérations sur le VLAN 20, et ainsi de suite, le tout à partir d'un seul SSID, entièrement géré par l'identité. Pour la révocation automatique (lorsqu'un membre du personnel s'en va), l'intégration de Purple avec votre fournisseur d'identité signifie que lorsque vous désactivez le compte dans Entra ID ou Okta, la tentative de ré-authentification suivante échoue et l'appareil est déconnecté. Aucune modification manuelle de la configuration du routeur n'est requise. Troisième partie : Le WiFi multi-locataire avec des clés pré-partagées privées (Private PSK). C'est le plus intéressant des trois sur le plan architectural. Le Private PSK (parfois appelé PPSK ou iPSK) vous permet de faire fonctionner un seul SSID où chaque locataire, résident ou groupe d'appareils se connecte avec une phrase de passe unique, et chaque phrase de passe est associée à un VLAN différent. Sur MikroTik, cela fonctionne via l'authentification RADIUS basée sur l'adresse MAC sur l'interface sans fil. Lorsqu'un appareil se connecte, le point d'accès envoie l'adresse MAC de l'appareil au serveur RADIUS en tant que nom d'utilisateur. Le serveur RADIUS (qu'il s'agisse du propre User Manager de MikroTik dans RouterOS 7 ou de FreeRADIUS) recherche cette adresse MAC et renvoie deux attributs spécifiques au fournisseur : Mikrotik-Wireless-Psk, qui est la phrase de passe par appareil, et Mikrotik-Wireless-VLANID, qui place l'appareil sur le bon VLAN. Le profil de sécurité sans fil doit avoir radius-mac-authentication défini sur yes, et le client RADIUS a besoin de service=wireless. En pratique, pour un immeuble résidentiel locatif de 200 appartements, vous pré-enregistreriez les adresses MAC des appareils de chaque résident dans la plateforme de Purple lors de leur emménagement. Purple associe chaque adresse MAC à une clé PSK unique et à un VLAN correspondant au segment réseau de cet appartement. Le résident se connecte à l'aide de la phrase de passe de son appartement. Ses appareils se retrouvent sur un VLAN isolé. Les appareils de son voisin sont sur un VLAN complètement distinct. Aucun ne peut voir le trafic de l'autre. Pour les appareils qui ne prennent pas en charge le 802.1X (téléviseurs connectés, consoles de jeux, appareils IoT), cette approche constitue l'alternative pratique. L'appareil doit simplement prendre en charge le WPA2-PSK, ce qui est le cas de tous. [RECOMMANDATIONS DE DÉPLOIEMENT ET PIÈGES À ÉVITER - environ 2 minutes] Laissez-moi vous présenter les quatre problèmes les plus courants lors de ces déploiements. Premièrement : les lacunes du walled garden. Si la splash page de Purple ne se charge pas, vérifiez vos entrées de walled garden. Le coupable le plus fréquent est un domaine CDN manquant ou une redirection de connexion sociale qui n'est pas autorisée. Utilisez l'outil torch de MikroTik ou le renifleur de paquets (packet sniffer) pour observer quelles requêtes DNS sont bloquées avant l'authentification. Deuxièmement : les décalages de délai d'attente (timeout) RADIUS. Le délai d'attente RADIUS par défaut de MikroTik est de 1 100 millisecondes. Si le serveur RADIUS de Purple est géographiquement éloigné ou si le chemin réseau présente de la latence, vous constaterez des échecs d'authentification intermittents. Augmentez le délai d'attente à 3 000 millisecondes et configurez un serveur RADIUS de secours pour plus de résilience. Troisièmement : le filtrage VLAN n'est pas activé sur le pont (bridge). L'attribution dynamique de VLAN via RADIUS ne fonctionne que si le filtrage VLAN du pont est activé. C'est une exigence de RouterOS. Si vous constatez que tous les clients se retrouvent sur le VLAN par défaut, quel que soit le retour de RADIUS, vérifiez que vlan-filtering=yes est défini sur votre interface de pont. Quatrièmement : incompatibilité de version de CAPsMAN. Si vous utilisez un mélange de points d'accès gérés CAPsMAN version 2 et version 3, le comportement de marquage (tagging) VLAN peut différer. Standardisez sur RouterOS 7 avec CAPsMAN version 3 sur l'ensemble de votre parc de points d'accès avant de déployer des fonctionnalités de VLAN dynamique. Une recommandation architecturale : séparez le trafic invité, personnel et de gestion sur des VLAN distincts dès le premier jour, même si vous n'utilisez pas immédiatement les trois cas d'usage de Purple. Adapter la segmentation VLAN sur un réseau plat après coup est beaucoup plus perturbateur que de la concevoir dès le départ. [QUESTIONS-RÉPONSES RAPIDES - environ 1 minute] Puis-je utiliser le User Manager intégré de MikroTik au lieu d'un serveur RADIUS externe ? Oui, pour les déploiements plus modestes. Le User Manager de RouterOS 7 prend en charge PEAP-MSCHAPv2 pour le 802.1X sans fil et peut renvoyer l'attribut Mikrotik-Wireless-VLANID. Pour les déploiements en production avec Purple, vous utiliserez l'infrastructure RADIUS hébergée de Purple, qui gère pour vous l'intégration du fournisseur d'identité et la gestion des sessions. Est-ce que Purple prend en charge MikroTik CAPsMAN ? Oui. Purple est indépendant du matériel. L'intégration fonctionne au niveau du RADIUS et de la redirection du hotspot, elle est donc compatible aussi bien avec les points d'accès MikroTik autonomes qu'avec les déploiements gérés par CAPsMAN. De quelle version de RouterOS ai-je besoin ? RouterOS 7.x est recommandé pour les trois cas d'usage présentés dans ce guide. L'attribution dynamique de VLAN via le RADIUS sans fil et le User Manager mis à jour sont des fonctionnalités de RouterOS 7. RouterOS 6.x prend en charge le hotspot et l'authentification RADIUS de base, mais ne dispose pas de certaines fonctionnalités de VLAN sans fil. [RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute] En résumé : MikroTik RouterOS vous offre trois points d'intégration distincts avec Purple. La Hotspot Gateway gère la redirection du WiFi invité et l'authentification du captive portal. La configuration sans fil 802.1X avec RADIUS gère le Staff WiFi sécurisé avec un accès basé sur l'identité. Et l'authentification RADIUS basée sur l'adresse MAC avec Private PSK gère la ségrégation de réseau multi-locataire pour les propriétés résidentielles et mixtes. Le fil conducteur de ces trois solutions est le RADIUS. Configurez correctement votre client RADIUS (IP correcte, secret partagé correct, type de service correct, délai d'attente correct) et le reste suivra. Vos prochaines étapes : connectez-vous à votre tableau de bord Purple, accédez à la configuration du site et récupérez vos identifiants RADIUS. Suivez ensuite les commandes CLI du guide écrit pour configurer votre profil de hotspot, votre profil de sécurité sans fil et vos entrées de walled garden. Testez avec un seul point d'accès avant de déployer sur l'ensemble de votre parc. Si vous déployez cette solution à grande échelle (plusieurs sites, des centaines de points d'accès), l'équipe des services professionnels de Purple peut vous accompagner dans le déploiement. Purple est présent dans plus de 80 000 sites actifs à travers le monde, avec une disponibilité de 99,999 %, et est certifié ISO 27001, GDPR et Cyber Essentials. Merci pour votre écoute. Le guide écrit complet contenant toutes les commandes CLI, les tableaux d'attributs RADIUS et les exemples concrets est disponible via le lien dans les notes de l'émission.

header_image.png

Résumé exécutif

L'intégration de MikroTik RouterOS avec Purple crée un réseau unifié et basé sur l'identité à travers les environnements d'invités, de personnel et multi-locataires. Ce guide fournit la logique de configuration spécifique requise pour déployer la solution cloud de Purple sur le matériel MikroTik. Vous apprendrez à configurer la Hotspot Gateway RouterOS pour la redirection du Guest WiFi , à implémenter la norme IEEE 802.1X pour un Staff WiFi sécurisé, et à déployer des clés pré-partagées privées (PPSK) pour isoler le trafic WiFi multi-locataire (Multi-Tenant).

En suivant ces modèles de déploiement, vous segmentez votre réseau de manière sécurisée tout en collectant des données de première partie pour les WiFi Analytics . Purple a traité 440 millions de connexions en 2024 avec une disponibilité de 99,999 %, ce qui rend cette architecture parfaitement adaptée aux environnements à haute densité dans les secteurs du Commerce de détail , de l' Hôtellerie et des Transports .

Analyse technique approfondie

Guest WiFi : Captive Portal et Walled Garden

La Hotspot Gateway MikroTik intercepte le trafic HTTP non authentifié et le redirige vers le captive portal hébergé de Purple. Purple agit en tant que serveur RADIUS, gérant l'authentification et la gestion des sessions.

Pour garantir que le captive portal se charge correctement, vous devez configurer un walled garden. Cela permet un accès avant authentification aux domaines de la splash page de Purple, aux réseaux de diffusion de contenu (CDN) et aux fournisseurs OAuth (tels que Google Workspace et Microsoft Entra ID). Sans ces entrées, la boucle de redirection se brise.

Une fois l'authentification réussie, le serveur RADIUS de Purple renvoie des attributs standard, notamment Session-Timeout pour appliquer des limites de connexion, et éventuellement Mikrotik-Rate-Limit pour imposer des contraintes de bande passante directement depuis le tableau de bord Purple.

Staff WiFi : Authentification 802.1X

Pour le Staff WiFi, vous éliminez les mots de passe partagés en déployant la norme IEEE 802.1X. Le point d'accès MikroTik agit en tant qu'authentificateur, transmettant les identifiants EAP au serveur RADIUS de Purple. Purple s'intègre nativement avec Microsoft Entra ID, Okta et Google Workspace, validant les identifiants via PEAP-MSCHAPv2 ou EAP-TLS.

Lorsqu'un membre du personnel se connecte, le serveur RADIUS de Purple peut renvoyer l'attribut Mikrotik-Wireless-VLANID. Cela indique au routeur MikroTik de placer l'appareil authentifié sur un VLAN spécifique, permettant une segmentation réseau basée sur les rôles à partir d'un seul SSID. Pour un aperçu plus large des normes de sécurité, reportez-vous à Enterprise WiFi Security: A Complete Guide for 2026 .

WiFi multi-locataire (Multi-Tenant WiFi) : Private PSK (PPSK)

Les environnements multi-locataires exigent une isolation sécurisée sans la complexité du 802.1X, car de nombreux appareils grand public (tels que les téléviseurs connectés et les consoles de jeux) ne le prennent pas en charge. MikroTik prend en charge le Private PSK (PPSK) via l'authentification RADIUS basée sur l'adresse MAC.

Lorsqu'un appareil se connecte au SSID, le routeur MikroTik envoie l'adresse MAC de l'appareil à Purple. Purple renvoie l'attribut Mikrotik-Wireless-Psk (la phrase de passe unique pour ce locataire) et l'attribut Mikrotik-Wireless-VLANID. Cette architecture permet à des centaines de locataires de partager un seul SSID tout en restant dans des bulles réseau complètement isolées.

architecture_overview.png

Guide de déploiement

1. Configuration du client RADIUS

Tout d'abord, définissez Purple comme serveur RADIUS dans RouterOS. Cela s'applique aux trois cas d'usage.

/radius
add address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET service=hotspot,wireless authentication-port=1812 accounting-port=1813 timeout=3000ms

2. Configuration du Hotspot Guest WiFi

Lancez l'assistant de configuration du Hotspot sur votre interface VLAN invité, puis activez l'authentification RADIUS sur le profil obtenu.

/ip hotspot profile
set [ find default=yes ] use-radius=yes radius-accounting=yes

Configurez le walled garden to allow access to Purple's infrastructure.

/ip hotspot walled-garden
add action=allow dst-host=*purple.ai
add action=allow dst-host=*purpleportal.net

3. Configuration du Staff WiFi 802.1X

Configurez le profil de sécurité sans fil pour utiliser le WPA2-Enterprise et orientez-le vers le serveur RADIUS.

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=passthrough mode=dynamic-keys name=staff-8021x radius-mac-authentication=no

Assurez-vous que le filtrage VLAN du pont (bridge VLAN filtering) est activé pour prendre en charge l'attribution dynamique de VLAN.

/interface bridge
set bridge1 vlan-filtering=yes

4. Configuration du PPSK multi-locataire

Pour le PPSK, activez l'authentification MAC sur le profil de sécurité sans fil et configurez le format de l'adresse MAC.

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=multi-tenant-ppsk radius-mac-authentication=yes radius-mac-format=XX:XX:XX:XX:XX:XX

ppsk_vlan_diagram.png

Bonnes pratiques

  • Standardiser sur RouterOS 7 : L'attribution dynamique de VLAN via le RADIUS sans fil est nettement plus robuste dans RouterOS 7 par rapport à RouterOS 6.
  • Augmenter les délais d'attente (timeouts) RADIUS : Le délai d'attente RADIUS par défaut de MikroTik est de 1100 ms. Augmentez-le à 3000 ms pour éviter les échecs d'authentification intermittents causés par la latence du réseau.
  • Utiliser des entrées de walled garden basées sur les noms d'hôte : Utilisez toujours dst-host au lieu de dst-address pour les entrées de walled garden, car les adresses IP des infrastructures cloud change fréquemment.
  • Activer le filtrage VLAN du pont : L'attribution dynamique de VLAN via RADIUS (Mikrotik-Wireless-VLANID) nécessite vlan-filtering=yes sur l'interface du pont.

Résolution des problèmes et atténuation des risques

Si le Captive Portal ne parvient pas à se charger, le walled garden est presque certainement incomplet. Utilisez l'outil MikroTik Torch pour surveiller les requêtes DNS rejetées provenant de clients non authentifiés sur le VLAN invité. Ajoutez les domaines manquants au walled garden.

Si les clients 802.1X ne parviennent pas à s'authentifier, vérifiez le secret partagé et assurez-vous que le client RADIUS est configuré avec service=wireless. Consultez les journaux du tableau de bord Purple pour confirmer si l'Access-Reject provient de Purple ou de votre fournisseur d'identité.

Si les clients s'authentifient mais reçoivent une mauvaise adresse IP, confirmez que le filtrage VLAN du pont est activé et que le serveur DHCP est correctement lié à l'interface VLAN attribuée dynamiquement.

ROI et impact commercial

Déployer Purple sur votre infrastructure MikroTik transforme un centre de coûts en un générateur de revenus. En collectant des données de première main (first-party), les établissements peuvent créer des profils numériques détaillés et automatiser des campagnes marketing. Par exemple, Avanti West Coast a généré un retour sur investissement de 463 % en capitalisant sur les voyageurs fréquents et les opportunités de vente incitative.

De plus, la gestion de réseau basée sur l'identité réduit les frais généraux informatiques. L'automatisation de l'intégration (onboarding) et de la désintégration (offboarding) pour le WiFi du personnel via Entra ID élimine la gestion manuelle des mots de passe, tandis que le PPSK pour le WiFi multi-locataire permet aux gestionnaires immobiliers de provisionner des réseaux isolés sans déployer de matériel dédié par unité.

Définitions clés

Hotspot Gateway

Une fonctionnalité de RouterOS qui intercepte le trafic HTTP non authentifié et le redirige vers une page de connexion (splash page) de Captive Portal.

Utilisé pour capturer les données des invités et appliquer les conditions d'utilisation avant d'autoriser l'accès à Internet.

Walled Garden

Une liste de destinations autorisées auxquelles les utilisateurs non authentifiés peuvent accéder.

Crucial pour permettre aux invités d'accéder à la splash page de Purple, aux CDN et aux fournisseurs OAuth (comme Google) pour finaliser le processus de connexion.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports, qui fournit un mécanisme d'authentification aux appareils souhaitant se connecter à un réseau LAN ou WLAN.

Utilisé pour sécuriser le Staff WiFi, permettant l'authentification via Entra ID ou Okta au lieu d'un mot de passe partagé.

Private PSK (PPSK)

Une architecture de sécurité dans laquelle plusieurs clés pré-partagées (Pre-Shared Keys) uniques sont utilisées sur un seul SSID, souvent associées à des adresses MAC et des VLAN spécifiques.

Idéal pour le WiFi multi-locataire (Multi-Tenant WiFi), offrant des bulles réseau isolées pour les résidents et leurs appareils grand public.

RADIUS

Remote Authentication Dial-In User Service. Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation (AAA).

Le protocole central reliant le matériel MikroTik à la plateforme cloud de Purple pour la validation d'identité.

VLAN Filtering

Un paramètre de pont (bridge) RouterOS qui applique les règles de marquage (tagging) et de démarquage (untagging) des VLAN sur les ports du pont.

Doit être activé pour que l'attribution dynamique de VLAN via RADIUS fonctionne correctement.

CAPsMAN

Controlled Access Point system Manager. Le système de gestion sans fil centralisé de MikroTik.

Utilisé pour déployer des profils de sécurité sans fil et des paramètres RADIUS cohérents sur plusieurs points d'accès.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Une méthode d'authentification hautement sécurisée nécessitant des certificats côté client.

Pris en charge par Purple pour les déploiements Staff WiFi zero-trust où une authentification sans mot de passe est requise.

Exemples concrets

Un hôtel de 200 chambres doit déployer un Staff WiFi sécurisé sur ses points d'accès MikroTik. Il souhaite que le personnel financier soit sur le VLAN 10 et le personnel opérationnel sur le VLAN 20, en utilisant leurs identifiants Microsoft Entra ID existants.

  1. Intégrez Purple avec Microsoft Entra ID dans le tableau de bord Purple.
  2. Configurez le client RADIUS MikroTik pour pointer vers Purple avec service=wireless.
  3. Créez un profil de sécurité sans fil MikroTik avec authentication-types=wpa2-eap.
  4. Activez vlan-filtering=yes sur le pont (bridge) MikroTik.
  5. Dans Purple, associez le groupe Entra ID 'Finance' pour renvoyer Mikrotik-Wireless-VLANID=10 et le groupe 'Operations' pour renvoyer Mikrotik-Wireless-VLANID=20.
Commentaire de l'examinateur : Cette approche utilise la norme IEEE 802.1X pour une authentification sécurisée et sans mot de passe. En s'appuyant sur les groupes Entra ID et les attributs RADIUS, le réseau segmente dynamiquement le trafic à la périphérie, réduisant ainsi la surface d'attaque et éliminant la configuration manuelle des VLAN sur le routeur.

Un gestionnaire d'immeubles résidentiels locatifs doit fournir des réseaux WiFi isolés pour 50 appartements en utilisant un seul SSID diffusé depuis MikroTik CAPsMAN.

  1. Configurez le profil de sécurité sans fil MikroTik pour le SSID avec authentication-types=wpa2-psk et radius-mac-authentication=yes.
  2. Assurez-vous que le client RADIUS est configuré avec service=wireless pointant vers Purple.
  3. Dans le tableau de bord Purple, enregistrez les adresses MAC des appareils des résidents.
  4. Attribuez une clé PSK unique et un ID de VLAN à chaque appartement dans Purple.
  5. Lorsqu'un appareil se connecte, Purple renvoie les attributs Mikrotik-Wireless-Psk et Mikrotik-Wireless-VLANID, plaçant l'appareil dans sa bulle réseau isolée.
Commentaire de l'examinateur : Cette architecture de PSK privé (PPSK) offre une isolation de niveau entreprise tout en prenant en charge les appareils grand public qui ne disposent pas des fonctionnalités 802.1X. Elle évolue efficacement et permet une gestion centralisée via Purple.

Questions d'entraînement

Q1. Vous avez configuré la Hotspot Gateway MikroTik et l'avez orientée vers le serveur RADIUS de Purple. Les invités se connectent au SSID, mais leurs navigateurs affichent une erreur de délai d'attente (timeout) au lieu de la splash page de Purple. Quelle est l'erreur de configuration la plus probable ?

Conseil : Pensez à ce qui doit se passer avant que l'invité ne s'authentifie.

Voir la réponse type

Le walled garden est mal configuré ou contient des entrées manquantes. Sans autoriser l'accès aux domaines de la splash page de Purple et aux CDN associés dans /ip hotspot walled-garden, l'invité non authentifié ne peut pas charger la page de connexion, ce qui entraîne un délai d'attente dépassé (timeout).

Q2. Une chaîne de magasins souhaite déployer le Staff WiFi en utilisant le 802.1X et Entra ID. Elle configure `authentication-types=wpa2-eap` et configure le client RADIUS. Cependant, l'authentification échoue. Vous vérifiez la configuration du client RADIUS et constatez `service=hotspot`. Comment résolvez-vous cela ?

Conseil : Différentes méthodes d'authentification sans fil nécessitent différents types de services RADIUS dans RouterOS.

Voir la réponse type

Modifiez la configuration du client RADIUS pour inclure service=wireless. Le type de service hotspot est uniquement utilisé pour l'authentification du captive portal. L'authentification 802.1X et MAC nécessite le type de service wireless.

Q3. Vous déployez un WiFi multi-locataire (Multi-Tenant WiFi) à l'aide de PSK privés. Purple renvoie avec succès les attributs `Mikrotik-Wireless-Psk` et `Mikrotik-Wireless-VLANID`, et l'appareil se connecte. Cependant, l'appareil reçoit une adresse IP du sous-réseau de gestion par défaut, et non du sous-réseau isolé du locataire. Quel paramètre RouterOS est manquant ?

Conseil : L'attribution dynamique de VLAN nécessite que le pont (bridge) traite les balises (tags) VLAN.

Voir la réponse type

Le filtrage VLAN du pont (bridge VLAN filtering) est désactivé. Vous devez définir vlan-filtering=yes sur l'interface du pont. Sans cela, le pont ignore la balise VLAN dynamique attribuée par RADIUS, et le trafic bascule sur le PVID non marqué par défaut.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Lire le guide →

Allied Telesis Access Points Integration with Purple WiFi

Ce guide fournit un manuel de configuration complet pour intégrer les points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il couvre la redirection vers un Captive Portal externe, l'authentification RADIUS 802.1X et le routage dynamique des VLAN à l'aide de clés pré-partagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Lire le guide →

Grandstream GWN Access Points Integration with Purple WiFi

Ce guide de référence technique faisant autorité détaille comment intégrer les points d'accès Grandstream GWN avec la plateforme de Guest WiFi et d'analyse de Purple. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage VLAN dynamique, et la segmentation PPSK multi-tenant - fournissant des instructions pratiques, étape par étape, pour les MSP et les équipes informatiques déployant du WiFi pour les invités et le personnel à grande échelle.

Lire le guide →