Intégration des routeurs et points d'accès DrayTek Vigor avec Purple WiFi

Ce guide fournit des instructions techniques étape par étape pour intégrer les routeurs DrayTek Vigor et les points d'accès VigorAP avec la plateforme cloud de Purple. Il couvre la configuration du Captive Portal DrayTek pour le WiFi Invité, l'authentification 802.1X pour un WiFi Collaborateurs sécurisé, la configuration du Walled Garden, et la configuration Multiple PSK (PPSK) de DrayTek pour la segmentation réseau multi-locataire avec attribution dynamique de VLAN. Conçu pour les installateurs informatiques et les administrateurs réseau de PME déployant Purple dans les secteurs de l'hôtellerie, du commerce de détail et des sites multi-locataires.

📖 10 min de lecture📝 2,500 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

Welcome to the Purple Integration Briefing. Today we are looking at DrayTek Vigor routers and VigorAP access points, and specifically how to integrate them with Purple WiFi. This briefing is for IT managers and network architects deploying guest, staff, and multi-tenant networks across SMB and mid-market venues.

Let's start with the context. DrayTek hardware is incredibly popular in retail, hospitality, and multi-dwelling units because it offers robust routing, VPN, and wireless capabilities at a competitive price point. When you pair a DrayTek Vigor router with Purple, you transform a standard internet connection into an Identity-Based Network. Purple has over 80,000 live venues and processes 440 million logins a year. We bring the captive portal, the analytics, and the security layer. DrayTek provides the reliable edge infrastructure.

Let's get into the technical deep dive. How do we actually make this work? The core of the integration relies on RADIUS authentication and external captive portal redirection.

First, the Guest WiFi setup. You will configure the DrayTek Vigor router as a Hotspot Web Portal gateway. In the DrayOS interface, under Applications and RADIUS, you add Purple's RADIUS server IP and shared secret. Then, under Hotspot Web Portal, you set the Portal Method to External Server and paste your specific Purple access URL. The DrayTek router intercepts guest traffic, redirects it to Purple's cloud overlay for authentication, and then uses RADIUS to grant access.

A critical step here is the Walled Garden. Guests need to reach Purple's servers before they are authenticated. You must configure the Destination Domain tab in the DrayTek Hotspot profile to allow traffic to Purple's authentication domains. If you miss this, the splash page simply will not load. This is one of the most common mistakes during initial deployment.

Now, what about Staff WiFi? For secure staff access, you do not use a captive portal. You use 802.1X authentication, which is the IEEE standard for port-based network access control. In the DrayTek Wireless LAN Security settings, you select WPA2 slash 802.1X and point it to the Purple RADIUS server. Staff devices authenticate seamlessly using PEAP and MS-CHAPv2. This eliminates shared passwords entirely and allows you to revoke access instantly when an employee leaves. There is no need to change a password across the entire venue.

Let's talk about Multi-Tenant environments. Think student accommodation, coworking spaces, or retail concessions. You need network segmentation. DrayTek handles this with VLANs and Multiple PSK, also known as PPSK or Private Pre-Shared Key. You configure VLANs on the DrayTek router. For example, VLAN 10 for Guests, VLAN 20 for Staff, and VLAN 30 for Tenants. Using DrayTek's WPA2-PPSK feature on the VigorAPs, each tenant gets a unique passphrase. When they connect, the access point binds that passphrase to their MAC address and drops them into their isolated VLAN. This means a coffee shop tenant on the ground floor of a hotel cannot see the hotel's internal network, even though they are sharing the same physical access point.

Dynamic VLAN assignment takes this further. Purple's RADIUS server can return specific RADIUS attributes when a user authenticates. These are the Tunnel-Type, Tunnel-Medium-Type, and Tunnel-Private-Group-ID attributes. The DrayTek router reads these values and dynamically assigns the authenticated client to the correct VLAN. This is Identity-Based Networking in practice: the network adapts to the identity of the user, not the other way around.

Moving on to Implementation Recommendations and Pitfalls.

Recommendation one: Always use a wired backhaul for your VigorAPs. Wireless distribution systems, or universal repeaters, cannot pass the 802.1Q VLAN tags required for proper network segmentation. If you want a guest network isolated from your internal LAN, you need those VLAN tags intact, and that means a physical Ethernet cable from each access point back to the DrayTek router or a managed switch.

Recommendation two: Enable AP-Assisted Mobility on the VigorAPs. This feature intelligently disassociates clients with poor signal strength, forcing them to roam to a closer access point. It solves the sticky client problem that plagues many SMB deployments. In a retail environment, a shopper walking from the front of the store to the back should seamlessly transition between access points. Without AP-Assisted Mobility, their device may cling to the front access point even when the signal is weak.

Recommendation three: Plan your VLAN numbering scheme before you start. Changing VLAN IDs after deployment requires reconfiguration of the router, all access points, and potentially any managed switches in the path. Document your scheme clearly.

The biggest pitfall? Forgetting to reboot the DrayTek router after applying the RADIUS and Hotspot configurations. DrayOS requires a reboot to apply these specific changes. If you skip this, you will spend hours troubleshooting a configuration that is actually correct but simply not yet active. This is documented in Purple's official support guide for DrayTek hardware.

Let's do a rapid-fire Q and A.

Question: Can I use the Vigor router's internal RADIUS server?
Answer: You can for local 802.1X authentication, but for Purple integration, you must use Purple's external RADIUS servers. This is what enables centralised policy management and the analytics that Purple provides.

Question: Does DrayTek support dynamic VLAN steering via RADIUS?
Answer: Yes. Purple's RADIUS server returns the Tunnel-Type and Tunnel-Private-Group-ID attributes on authentication. The DrayTek router reads these and dynamically assigns the client to the correct VLAN.

Question: What happens if a user's iOS device uses a Private MAC address with PPSK?
Answer: It will fail authentication. The PPSK profile binds to a specific MAC address. You must instruct users to disable Private WiFi Address for your specific network in their iOS settings to ensure stable connectivity.

Question: Which DrayTek models are supported with Purple?
Answer: The currently supported models include the 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962, and 3910 series. Check Purple's support documentation for the latest list.

To summarise. DrayTek and Purple together give you enterprise-grade network control at SMB price points. You use the Hotspot Web Portal for guests, 802.1X for staff, and PPSK with VLANs for tenants. Map your VLANs carefully, configure your walled gardens, and always reboot after applying RADIUS settings. Use wired backhaul for your access points, enable AP-Assisted Mobility, and plan for MAC randomisation on iOS devices.

Thank you for listening to this technical briefing. Get your hardware configured, and we will see you on the Purple platform.

Points clés à retenir

✓DrayTek Vigor routers use the Hotspot Web Portal feature with External Server mode to redirect guest traffic to Purple's cloud-hosted splash page for GDPR-compliant data capture.
✓The Walled Garden (Dest Domain tab) must list all Purple authentication domains before deployment - missing entries are the most common cause of splash page failures.
✓Staff WiFi should use WPA2/802.1X Enterprise security, authenticating against Purple's RADIUS server, to eliminate shared passwords and enable instant per-user access revocation.
✓Multi-tenant environments use DrayTek WPA2-PPSK on VigorAPs to assign unique passphrases per tenant, dynamically tagging traffic into isolated VLANs on the Vigor router.
✓All VigorAPs must connect to the router via wired Ethernet - wireless repeater modes strip 802.1Q VLAN tags and break network segmentation.
✓DrayOS requires a router reboot to apply any changes to RADIUS or Hotspot Web Portal configurations - this is a mandatory step, not optional.
✓Enable AP-Assisted Mobility on VigorAPs to prevent sticky client behaviour and ensure stable captive portal sessions as users move through the venue.

Résumé exécutif

Les routeurs DrayTek Vigor et les points d'accès VigorAP sont déployés dans des dizaines de milliers de sites de PME, de commerce de détail et d'hôtellerie à travers le Royaume-Uni et l'Europe. Lorsqu'il est intégré à la superposition cloud de Purple, ce matériel devient la base d'un réseau basé sur l'identité (Identity-Based Network) - capturant des données de première partie, sécurisant les ressources internes et segmentant le trafic multi-locataire, le tout à partir d'une plateforme unique.

Ce guide couvre quatre scénarios de déploiement : le WiFi Invité avec un portail captif personnalisé et une authentification RADIUS, un WiFi Collaborateurs sécurisé via IEEE 802.1X Enterprise, la configuration du Walled Garden pour autoriser le trafic de pré-authentification, et le WiFi multi-locataire utilisant la fonctionnalité WPA2-PPSK de DrayTek avec attribution dynamique de VLAN. Purple opère sur plus de 80 000 sites actifs avec une disponibilité de 99,999 % et détient les certifications ISO 27001, GDPR et Cyber Essentials - ainsi, les exigences de sécurité et de conformité auxquelles votre site est confronté sont déjà intégrées à la plateforme.

Les modèles DrayTek pris en charge incluent les séries Vigor 2862, 2865, 2866, 2926, 2927, 2952, 2962, 3220 et 3910. Tous les points d'accès VigorAP gérés via la gestion centralisée des points d'accès (APM) sont compatibles avec cette intégration.

Analyse technique approfondie

Fonctionnement de l'intégration

L'intégration de DrayTek et Purple repose sur deux mécanismes fonctionnant en tandem : la redirection externe vers le Captive Portal et l'authentification RADIUS (Remote Authentication Dial-In User Service). Purple agit en tant que fournisseur d'identité centralisé et moteur de politiques. Le routeur DrayTek Vigor agit en tant que serveur d'accès réseau (NAS), appliquant les décisions d'accès renvoyées par les serveurs RADIUS de Purple.

Lorsqu'un invité se connecte au SSID WiFi, le routeur DrayTek place l'appareil dans un état de pré-authentification. Il intercepte le trafic HTTP de l'appareil et le redirige vers le portail captif hébergé sur le cloud de Purple via la fonctionnalité Hotspot Web Portal de DrayOS. L'utilisateur effectue le parcours de connexion sur la plateforme de Purple - en utilisant une connexion sociale, un e-mail, un SMS ou un fournisseur d'identité managé tel que Microsoft Entra ID, Okta ou Google Workspace. Le serveur RADIUS de Purple renvoie ensuite un message Access-Accept au routeur DrayTek, qui accorde l'accès à Internet et démarre la comptabilisation RADIUS sur le port 1813.

WiFi Invité et le Captive Portal DrayTek

Le Hotspot Web Portal de DrayTek est le mécanisme central pour l'authentification des invités. Dans DrayOS, vous configurez un profil Hotspot qui définit la méthode de portail, le serveur d'authentification, les limites de session et la page de destination. Définir la méthode de portail sur External Server indique à DrayOS de rediriger les clients non authentifiés vers une URL externe - dans ce cas, votre URL d'accès Purple - plutôt que d'afficher une page hébergée localement.

La configuration RADIUS au sein du profil Hotspot pointe vers l'adresse IP du serveur RADIUS de Purple sur le port 1812 pour l'authentification et le port 1813 pour la comptabilisation. Le secret partagé doit correspondre exactement à celui affiché dans votre tableau de bord de site Purple. Une non-correspondance à ce niveau est la cause la plus fréquente d'échecs d'authentification.

La gestion des sessions est contrôlée par le paramètre Expired Time After Activation. Pour la plupart des déploiements dans l'hôtellerie et le commerce de détail, une durée de six heures est une valeur par défaut pratique. Vous pouvez aligner cela avec le délai d'expiration de session de Purple pour garantir un comportement cohérent sur les deux systèmes.

Configuration du Walled Garden

Avant qu'un invité ne s'authentifie, son appareil n'a pas d'accès à Internet. Cependant, l'appareil doit pouvoir accéder aux serveurs de Purple pour charger le portail captif. Le Walled Garden - configuré via l'onglet Dest Domain dans le profil Hotspot de DrayTek - définit les domaines accessibles avant l'authentification.

Vous devez ajouter les domaines d'authentification de Purple à cette liste, un par index. Si vous utilisez des fournisseurs de connexion sociale (tels que Google ou Facebook) ou un fournisseur d'identité managé comme Microsoft Entra ID, leurs domaines doivent également être inclus. Une mauvaise configuration du Walled Garden est la raison la plus fréquente pour laquelle un Captive Portal DrayTek ne parvient pas à afficher le portail captif. La documentation d'assistance de Purple fournit la liste actuelle des domaines requis pour chaque méthode de connexion.

WiFi Collaborateurs sécurisé via 802.1X

Pour le personnel interne, un Captive Portal n'est pas l'outil adapté. Les mots de passe WPA2 partagés représentent un risque pour la sécurité : lorsqu'un employé s'en va, vous devez mettre à jour le mot de passe sur chaque appareil. L'authentification IEEE 802.1X Enterprise élimine complètement ce problème.

Dans DrayOS, accédez à Wireless LAN > Security et sélectionnez WPA2/802.1X pour votre SSID collaborateurs. Cliquez sur le lien RADIUS Server et saisissez l'IP du serveur de Purple, le port et le secret partagé. Les appareils des collaborateurs s'authentifient à l'aide de PEAP (Protected Extensible Authentication Protocol) avec MS-CHAPv2 comme méthode interne. Il s'agit de la configuration requise pour les appareils Windows, macOS, iOS et Android se connectant à un réseau sans fil d'entreprise.

Purple révoque l'accès au niveau de l'identité. Lorsqu'un employé s'en va, vous désactivez son compte chez votre fournisseur d'identité (Microsoft Entra ID, Okta ou Google Workspace). Le serveur RADIUS de Purple cesse immédiatement d'accepter les demandes d'authentification de ce compte. Aucun changement de mot de passe n'est requis sur l'ensemble du site.

Pour en savoir plus sur l'architecture de sécurité sans fil d'entreprise, consultez notre guide Sécurité WiFi d'entreprise : un guide complet pour 2026 .

Segmentation réseau multi-locataire avec les Multiple PSK de DrayTek

Les environnements multi-locataires - hôtels avec espaces de restauration ou de vente loués, espaces de coworking, résidences étudiantes et développements immobiliers locatifs - nécessitent une isolation réseau stricte entre les locataires. Un client dans une concession ne doit pas pouvoir accéder au réseau interne de l'hôtel, et deux locataires commerciaux ne doivent pas pouvoir voir le trafic de l'autre.

DrayTek répogère cela avec deux fonctionnalités complémentaires : le marquage VLAN (VLAN tagging) et le WPA2-PPSK (Private Pre-Shared Key).

Configuration VLAN sur le routeur Vigor attribue chaque locataire à un réseau logique distinct. Accédez à LAN > VLAN, activez la configuration VLAN et attribuez un identifiant VLAN unique à chaque segment de locataire. Tous LAN ports connectés aux VigorAP doivent être membres de tous les VLAN concernés, fonctionnant ainsi comme des ports trunk 802.1Q. La table de routage inter-LAN dans LAN > General Setup contrôle si le trafic peut transiter entre les VLAN. Pour l'isolation des locataires, celle-ci doit être désactivée.

WPA2-PPSK sur le VigorAP attribue une phrase de passe unique à chaque locataire. Le point d'accès associe cette phrase de passe à l'adresse MAC de l'appareil. Lorsqu'un appareil se connecte, l'AP identifie la phrase de passe utilisée et marque le trafic avec l'identifiant VLAN correspondant. Cela permet à un seul SSID de desservir simultanément plusieurs réseaux de locataires isolés, réduisant ainsi la surcharge sans fil et simplifiant l'expérience de l'utilisateur final.

Attribution dynamique de VLAN via RADIUS

Pour les déploiements où l'attribution de VLAN doit être guidée par l'identité de l'utilisateur plutôt que par une phrase de passe statique, le serveur RADIUS de Purple prend en charge le routage dynamique des VLAN. Lorsqu'un utilisateur s'authentifie, Purple renvoie trois attributs RADIUS dans le message Access-Accept :

Attribut RADIUS	Valeur
Tunnel-Type	VLAN (13)
Tunnel-Medium-Type	IEEE-802 (6)
Tunnel-Private-Group-ID	ID VLAN (par ex., "20")

Le routeur DrayTek lit ces attributs et attribue le client authentifié au VLAN spécifié, quel que soit le SSID auquel il s'est connecté. Il s'agit d'un réseau basé sur l'identité (Identity-Based Networking) : le segment de réseau est déterminé par l'identité de l'utilisateur, et non par le mot de passe qu'il a saisi.

Guide de mise en œuvre

Liste de contrôle avant déploiement

Avant de commencer, confirmez les points suivants :

Élément	Exigence
Firmware DrayTek	Dernière version stable de DrayOS
Site Purple	Créé et actif dans le tableau de bord Purple
Identifiants RADIUS	URL d'accès, IP du serveur RADIUS, secret partagé, identifiant NAS récupérés auprès de Purple
Plan de VLAN	Identifiants VLAN documentés pour les invités (Guest), le personnel (Staff) et chaque locataire
Backhaul VigorAP	Ethernet filaire confirmé pour tous les points d'accès

Étape 1 : Configurer RADIUS sur le routeur DrayTek

Accédez à Applications > RADIUS/TACACS+ dans l'interface web de DrayOS. Dans l'onglet External RADIUS, activez le profil et saisissez l'adresse IP du serveur RADIUS de Purple, le port (1812) et le secret partagé. Cliquez sur OK pour enregistrer. Le routeur doit être redémarré pour appliquer cette modification - ne sautez pas cette étape.

Étape 2 : Créer le profil du Hotspot Web Portal

Accédez à Hotspot Web Portal > Profile Setup et sélectionnez un index disponible. Configurez le profil comme suit :

Paramètre	Valeur
Activer ce profil	Oui
Méthode de portail	Serveur externe
URL du Captive Portal	Votre URL d'accès Purple
URL de redirection	http://portal.draytek.com
Méthode d'authentification	Serveur RADIUS externe
Adresse IP du serveur	IP du serveur RADIUS Purple
Port de destination	1812
Secret partagé	Votre secret partagé Purple
Activer la comptabilisation (Accounting)	Oui
Port de comptabilisation	1813
Format d'adresse MAC	AA-BB-CC-DD-EE-FF

Cliquez sur OK pour enregistrer.

Étape 3 : Configurer le Walled Garden

Cliquez sur Save and Next pour passer à l'onglet Dest Domain. Ajoutez chaque domaine Purple requis, un par index. Reportez-vous à la liste blanche des domaines Walled Garden de Purple dans la documentation d'assistance pour obtenir la liste actuelle. Cliquez sur Save and Next pour continuer.

Étape 4 : Configurer les paramètres de session et de page d'accueil

Sur le dernier écran de configuration, définissez :

Paramètre	Valeur
Durée d'expiration après activation	0 jour, 6 heures, 0 min (ou la durée de votre choix)
Redirection HTTPS	Non
Détection du Captive Portal	Oui
Page d'accueil après authentification	Votre URL de redirection Purple
Interfaces appliquées	Sélectionnez le ou les SSID du WiFi invité (Guest)

Cliquez sur Finish pour enregistrer. Redémarrez le routeur avant de tester.

Étape 5 : Configurer les VLAN pour la segmentation du réseau

Accédez à LAN > VLAN et activez la configuration VLAN. Créez une entrée VLAN pour chaque segment de réseau. Attribuez tous les ports LAN connectés aux VigorAP comme membres de tous les VLAN concernés (configuration trunk). Accédez à LAN > General Setup et utilisez la table de routage inter-LAN pour bloquer l'accès entre les VLAN si nécessaire.

Étape 6 : Configurer le 802.1X pour le WiFi du personnel (Staff)

Accédez à Wireless LAN > Security et sélectionnez le SSID Staff. Définissez le mode de sécurité sur WPA2/802.1X. Cliquez sur le lien RADIUS Server et saisissez l'adresse IP du serveur Purple, le port 1812 et le secret partagé. Enregistrez la configuration.

Étape 7 : Configurer le PPSK pour l'isolation multi-locataire

Sur chaque VigorAP, accédez à Wireless LAN > Security Settings et sélectionnez WPA2PPSK. Cliquez sur le bouton PPSK pour ajouter des entrées. Pour chaque locataire, créez une entrée PPSK avec l'adresse MAC de l'appareil du locataire et une phrase de passe unique. Assurez-vous que la phrase de passe est associée au bon VLAN dans la configuration de votre routeur. Notez que les profils PPSK pour 2,4 GHz et 5 GHz sont gérés séparément sur les VigorAP.

Bonnes pratiques

Les recommandations suivantes reflètent l'expérience de déploiement de Purple sur plus de 80 000 sites, y compris dans les secteurs de l' hôtellerie , du commerce de détail , de la santé et des transports .

Utilisez un backhaul filaire pour tous les VigorAP. Les systèmes de distribution sans fil (WDS) et les modes répéteurs universels ne peuvent pas transmettre les balises VLAN 802.1Q. Si vous avez besoin d'une segmentation réseau — ce qui est le cas pour tout site multi-locataire ou à usage mixte —, chaque point d'accès doit se connecter au routeur ou à un commutateur managé via Ethernet.

Activez la mobilité assistée par AP (AP-Assisted Mobility). Les VigorAP de DrayTek prennent en charge la pré-authentification et la mise en cache PMK (PMK Caching) pour accélérer la ré-authentification 802.1X lorsqu'un client se déplaceentre les points d'accès. Activez l'AP-Assisted Mobility pour dissocier activement les clients ayant un signal faible, les forçant ainsi à se connecter à l'AP le plus proche. Cela est particulièrement important dans les environnements de vente au détail où les clients se déplacent continuellement dans l'espace.

Planifiez votre schéma de VLAN avant le déploiement. Modifier les ID de VLAN après le déploiement nécessite de reconfigurer le routeur, tous les points d'accès et tous les commutateurs gérés sur le chemin. Documentez votre schéma - VLAN 10 pour les invités, VLAN 20 pour le personnel, VLAN 30+ pour les locataires - avant de toucher au matériel.

Alignez les délais d'expiration des sessions entre DrayTek et Purple. Si le profil DrayTek Hotspot expire une session après six heures mais que la session de Purple est configurée sur 24 heures, les utilisateurs seront redirigés vers la splash page au milieu de leur session. Configurez les deux sur la même valeur.

Désactivez la randomisation MAC pour les déploiements PPSK. Les appareils iOS et macOS utilisent par défaut des adresses WiFi privées (MAC randomisées). Comme le PPSK de DrayTek associe une phrase de passe à une adresse MAC spécifique, la randomisation entraînera des échecs d'authentification. Demandez aux utilisateurs de désactiver ce paramètre pour votre réseau, ou documentez clairement le processus dans votre parcours d'intégration.

Utilisez le Band Steering sur les VigorAP. Activez le Band Steering pour orienter les appareils compatibles double bande vers la bande 5 GHz. Cela réduit la congestion sur la bande 2,4 GHz et améliore le débit pour tous les appareils connectés.

Pour une vue d'ensemble de l'architecture de sécurité sans fil d'entreprise, consultez notre guide sur la Sécurité WiFi d'entreprise : un guide complet pour 2026 . Si vous déployez sur plusieurs sites avec différents fournisseurs de matériel, notre guide d'intégration SonicWall TZ et SonicWave avec Purple WiFi couvre un modèle d'intégration comparable.

Dépannage et atténuation des risques

La splash page ne se charge pas. La cause la plus fréquente est un Walled Garden incomplet. Vérifiez que tous les domaines Purple requis sont répertoriés dans l'onglet Dest Domain. Confirmez également que le pool DHCP invité est actif et que la résolution DNS fonctionne pour les clients pré-authentifiés. Testez en connectant un appareil et en essayant de naviguer vers une URL HTTP connue.

L'authentification RADIUS échoue. Vérifiez que le secret partagé ne contient pas de fautes de frappe - il est sensible à la casse. Confirmez que le routeur DrayTek dispose d'une route vers Internet et ne bloque pas le trafic UDP sortant sur les ports 1812 et 1813. Vérifiez que vous avez redémarré le routeur après avoir appliqué la configuration RADIUS. Consultez le tableau de bord de Purple pour voir les journaux d'authentification afin de déterminer si la demande atteint les serveurs de Purple.

Clients attribués au mauvais VLAN. Vérifiez la configuration du port trunk entre le routeur DrayTek et les VigorAP. Les ports du commutateur doivent autoriser les balises VLAN spécifiques. Si vous utilisez un commutateur non géré, confirmez qu'il transmet les trames étiquetées 802.1Q sans supprimer les balises. Vérifiez le profil PPSK pour confirmer la correspondance correcte entre la phrase de passe et le VLAN.

Les clients 'sticky' ne basculent pas d'un point d'accès à l'autre. Si les appareils ne basculent pas entre les VigorAP comme prévu, vérifiez que l'AP-Assisted Mobility est activée et que le seuil RSSI est configuré de manière appropriée pour votre site. Confirmez également que tous les VigorAP exécutent la même version de firmware, car des incohérences peuvent affecter le comportement d'itinérance.

Échec de l'authentification PPSK pour les appareils iOS. Confirmez que l'utilisateur a désactivé l'adresse WiFi privée pour votre réseau spécifique dans Réglages > WiFi > [Nom du réseau] > Adresse WiFi privée. Le profil PPSK doit contenir la véritable adresse MAC matérielle de l'appareil.

ROI et impact commercial

Le déploiement de matériel DrayTek avec Purple offre des retours mesurables dans trois domaines : l'efficacité opérationnelle, la capture de données et la conformité.

Efficacité opérationnelle. L'authentification 802.1X élimine la charge de travail liée à la gestion des mots de passe WiFi partagés. Lorsqu'un membre du personnel s'en va, vous désactivez son compte dans Microsoft Entra ID, Okta ou Google Workspace. Le serveur RADIUS de Purple cesse immédiatement d'accepter ses identifiants. Aucune rotation de mot de passe à l'échelle du site n'est requise. Pour une chaîne de vente au détail de 50 sites, cela permet à lui seul d'économiser des centaines d'heures de gestion informatique par an.

Capture de données et ROI marketing. Chaque invité qui se connecte via le Captive Portal de Purple fournit une identité vérifiée : adresse e-mail, numéro de téléphone ou profil de réseau social. Ces données de première partie alimentent directement la plateforme WiFi Analytics de Purple, où vous pouvez suivre le temps de séjour, les taux de visites répétées et l'engagement envers les campagnes. Purple a collecté 29 milliards de points de données sur son réseau. Les sites utilisant l'offre Engage de Purple signalent des augmentations mesurables des taux de visites répétées grâce à des communications ciblées après la visite.

Conformité. Purple est certifié ISO 27001, conforme au GDPR et au CCPA, et certifié Cyber Essentials. Le Captive Portal impose des consentements explicites, garantissant que la collecte de données répond aux exigences du GDPR. La segmentation VLAN isole les environnements de cartes de paiement du trafic des invités, favorisant la conformité PCI DSS. Pour les établissements de santé, l'isolation des réseaux des patients et des visiteurs est conforme aux directives du NHS et de l'ICO sur le traitement des données.

Pour une vue détaillée de la manière dont Purple guide la prise de décision basée sur les données dans les environnements physiques, consultez notre présentation de la plateforme WiFi Analytics .

Définitions clés

Captive portal

A web page that intercepts a user's HTTP traffic and requires interaction - login, terms acceptance, or data submission - before granting network access.

The mechanism Purple uses to capture first-party guest data on the DrayTek Hotspot Web Portal. Configured via the External Server portal method in DrayOS.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised authentication, authorisation, and accounting (AAA) for network access.

The DrayTek router sends authentication requests to Purple's RADIUS server on UDP port 1812 and accounting data on port 1813. The shared secret must match on both sides.

802.1X

An IEEE standard for port-based network access control. Requires devices to authenticate with a RADIUS server before being granted network access.

Used for Staff WiFi on DrayTek hardware. Eliminates shared passwords and enables per-user access revocation via the identity provider.

VLAN

Virtual Local Area Network. A logical network segment that isolates traffic at Layer 2, even when devices share the same physical infrastructure.

Used on DrayTek Vigor routers to separate Guest, Staff, and Tenant traffic. Requires 802.1Q trunk ports between the router and VigorAPs.

Walled Garden

A set of domains or IP ranges that unauthenticated users can access before completing the captive portal flow.

Configured in the Dest Domain tab of the DrayTek Hotspot Profile. Must include Purple's authentication servers and any identity provider domains used for login.

PPSK

Private Pre-Shared Key. A security method where each user or device is assigned a unique passphrase, rather than sharing a single network password.

Used on DrayTek VigorAPs to assign multi-tenant devices to specific VLANs. The passphrase is bound to the device's MAC address.

AP-Assisted Mobility

A DrayTek VigorAP feature that monitors client signal strength and actively disassociates clients below a defined RSSI threshold, prompting them to roam to a closer access point.

Critical for retail and hospitality deployments where users move through the venue. Prevents sticky client behaviour that causes captive portal session drops.

PEAP

Protected Extensible Authentication Protocol. An 802.1X EAP method that encapsulates the authentication exchange in a TLS tunnel, protecting credentials in transit.

The EAP method used for Staff WiFi on DrayTek hardware. Combined with MS-CHAPv2 as the inner authentication method for Windows, macOS, iOS, and Android devices.

Dynamic VLAN assignment

A mechanism where the RADIUS server returns VLAN attributes in the Access-Accept message, and the network device assigns the authenticated client to the specified VLAN automatically.

Purple's RADIUS server returns Tunnel-Type, Tunnel-Medium-Type, and Tunnel-Private-Group-ID attributes. The DrayTek router applies the VLAN assignment based on user identity.

Exemples concrets

A 150-room boutique hotel is deploying a DrayTek Vigor 2865 router with six VigorAP 903 access points. They need to provide branded Guest WiFi with data capture, secure Staff WiFi for 40 employees, and an isolated network for a leased ground-floor restaurant. The hotel's IT manager has never configured 802.1X before.

The IT manager creates three VLANs on the Vigor 2865: VLAN 10 for guests (192.168.10.0/24), VLAN 20 for staff (192.168.20.0/24), and VLAN 30 for the restaurant (192.168.30.0/24). Inter-LAN routing is disabled between all three segments. All six VigorAP 903 units are connected via Ethernet and managed through Central AP Management on the router. Three SSIDs are broadcast: 'Hotel Guest' (VLAN 10, Hotspot Web Portal pointing to Purple), 'Hotel Staff' (VLAN 20, WPA2/802.1X pointing to Purple RADIUS), and 'Restaurant' (VLAN 30, WPA2-PPSK with a passphrase specific to the restaurant's POS devices). The restaurant's PPSK entry binds the POS MAC addresses to VLAN 30. The IT manager registers the hotel's Microsoft Entra ID tenant with Purple, enabling staff to authenticate with their existing company credentials. The Walled Garden is configured with all required Purple domains. After rebooting the router, the IT manager tests each SSID and confirms correct VLAN assignment via the router's DHCP lease table.

Commentaire de l'examinateur : This configuration correctly separates three distinct user populations using the appropriate authentication method for each. Guests use a captive portal for data capture and GDPR-compliant opt-in. Staff use 802.1X for credential-based access tied to their existing identity provider, eliminating the need for a separate password. The restaurant uses PPSK to isolate POS devices without requiring 802.1X client configuration on headless hardware. The wired backhaul ensures VLAN tags are preserved throughout.

A retail chain with 80 stores is experiencing poor captive portal completion rates. Analytics show that 40% of shoppers who connect to the Guest WiFi SSID never reach the splash page. The chain uses DrayTek Vigor 2865 routers and VigorAP 912C access points. Store layouts are large, with access points at both ends of the floor.

The network administrator investigates two root causes. First, they audit the Walled Garden configuration across all 80 sites using VigorACS 3, DrayTek's central management platform. They find that 23 sites are missing two of the required Purple authentication domains, causing the splash page to time out for shoppers on those networks. They update the Hotspot profiles centrally via VigorACS 3. Second, they enable AP-Assisted Mobility on all VigorAPs with an RSSI threshold of -75 dBm. This forces shoppers' devices to roam to the nearest AP as they move through the store, preventing the sticky client issue that was causing captive portal sessions to drop mid-authentication. After both changes, the portal completion rate rises from 60% to 89% across the estate.

Commentaire de l'examinateur : This example illustrates two distinct failure modes that both present as low portal completion rates. Walled Garden misconfiguration prevents the splash page from loading entirely. Sticky client behaviour causes session drops mid-flow. Central management via VigorACS 3 is the correct approach for a multi-site estate - manually auditing 80 routers individually would be impractical. AP-Assisted Mobility is the DrayTek-specific mechanism that solves the roaming problem; relying on client-side roaming decisions is unreliable in retail environments.

Questions d'entraînement

Q1. You have configured the DrayTek Hotspot Web Portal and pointed it to the Purple access URL. The RADIUS settings are correct. However, when clients connect to the Guest WiFi SSID, their browsers report a connection timeout and the splash page never loads. What is the most likely cause, and what is the first step to diagnose it?

Conseil : Clients in a pre-authentication state have heavily restricted network access. Consider what traffic the router permits before authentication completes.

Voir la réponse type

The most likely cause is an incomplete or missing Walled Garden configuration. The DrayTek router blocks all traffic from unauthenticated clients except to domains explicitly listed in the Dest Domain tab. If Purple's authentication domains are not listed, the client's browser cannot reach the splash page server. The first diagnostic step is to navigate to the Hotspot Profile, click through to the Dest Domain tab, and verify that all required Purple domains are present. Cross-reference against Purple's Walled Garden Domain Whitelist in the support documentation. A secondary check is to confirm that DNS is resolving correctly for pre-authenticated clients.

Q2. A coworking venue has 12 member companies sharing a single DrayTek Vigor 2865 and four VigorAP 912C access points. Each company needs to be isolated from the others, but the venue manager wants to broadcast only one SSID to avoid cluttering the WiFi list on members' devices. How do you architect this?

Conseil : Consider how DrayTek handles unique passphrases on a single SSID, and what additional configuration is needed to enforce isolation between companies.

Voir la réponse type

Configure WPA2-PPSK on the VigorAPs with a single SSID. Create 12 VLANs on the Vigor 2865, one per company. For each company, create a PPSK entry that binds a unique passphrase to that company's device MAC addresses and assigns them to their dedicated VLAN. Disable inter-VLAN routing in the Inter-LAN Routing Table to prevent cross-company traffic. Each company's devices connect to the same SSID using their unique passphrase, and the VigorAP automatically drops them into their isolated VLAN. For companies with multiple devices, each device needs its own PPSK entry with its specific MAC address and the shared company passphrase.

Q3. After a routine firmware update on a DrayTek Vigor 2865, staff members report that their laptops can no longer connect to the Staff WiFi SSID. The SSID is visible, but authentication fails. Guest WiFi continues to work normally. What are the three most likely causes, and in what order should you investigate them?

Conseil : The Guest WiFi uses a different authentication mechanism to the Staff WiFi. Isolate which layer of the 802.1X stack has broken.

Voir la réponse type

The three most likely causes are: (1) The firmware update reset the RADIUS server configuration for the WPA2/802.1X SSID - navigate to Wireless LAN > Security, confirm the RADIUS server IP and shared secret are still correct, and reboot if you make any changes. (2) The firmware update changed the EAP method or RADIUS port settings - verify that port 1812 is still configured and that the router can reach Purple's RADIUS server on that port. (3) The firmware update introduced a certificate change that is causing EAP-TLS validation to fail on client devices - check the Purple dashboard for authentication log entries to see whether requests are reaching the server. Investigate in this order: RADIUS configuration first (most common after a firmware update), then network connectivity to the RADIUS server, then certificate or EAP method issues.

Continuer la lecture de cette série

Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le Captive Portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un guide de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.

Intégration de WatchGuard Firebox avec Purple WiFi : Guide d'installation et de configuration

Ce guide est un manuel d'intégration étape par étape destiné aux responsables informatiques et aux architectes réseau qui déploient WatchGuard Firebox et des points d'accès avec Purple. Il couvre la redirection vers un Captive Portal externe pour le Guest WiFi, l'authentification sécurisée 802.1X pour le Staff WiFi, et la segmentation multi-tenant à l'aide des clés privées pré-partagées (PPSK) de WatchGuard avec routage VLAN dynamique, vous offrant ainsi une architecture unique et unifiée sur tous les niveaux d'accès.