Intégration de WatchGuard Firebox avec Purple WiFi : Guide d'installation et de configuration

Ce guide est un manuel d'intégration étape par étape destiné aux responsables informatiques et aux architectes réseau qui déploient WatchGuard Firebox et des points d'accès avec Purple. Il traite de la redirection vers un Captive Portal externe pour le Guest WiFi, de l'authentification sécurisée 802.1X pour le WiFi du personnel, et de la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) de WatchGuard avec routage dynamique des VLAN. Vous disposez ainsi d'une architecture unique et unifiée pour tous les niveaux d'accès.

📖 8 min de lecture📝 1,854 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce guide d'intégration. Aujourd'hui, nous abordons l'intégration des équipements WatchGuard Firebox et Access Point avec Purple WiFi. Il s'agit d'un manuel technique destiné aux responsables informatiques, aux architectes réseau et aux directeurs d'exploitation de sites qui doivent déployer une infrastructure sans fil sécurisée et évolutive. Nous examinerons les portails captifs pour Guest WiFi, le Staff WiFi sécurisé via 802.1X, et la segmentation multi-locataire (Multi-Tenant) à l'aide des clés pré-partagées privées de WatchGuard, ou PPSK. Entrons directement dans le vif du sujet.

Lorsque vous gérez un site complexe, comme un stade, un grand centre commercial ou une résidence collective, vous devez contrôler précisément qui accède au réseau et ce qu'ils peuvent faire une fois connectés. Vous devez également capturer des données de première partie (first-party data) pour générer des revenus marketing. WatchGuard fournit la plateforme de sécurité unifiée et le matériel. Purple fournit l'overlay cloud, la gestion des identités et les analyses. En intégrant les deux, vous automatisez le contrôle d'accès basé sur l'identité. Vous éliminez le besoin de passerelles distinctes pour les invités et le personnel, ce qui réduit les dépenses matérielles et simplifie la gestion. Purple dessert actuellement plus de 80 000 sites actifs et a traité 440 millions de connexions rien qu'en 2024. La plateforme est donc conçue pour gérer l'envergure de n'importe quel site que vous êtes susceptible de superviser.

Passons maintenant à l'analyse technique approfondie. L'architecture repose sur les protocoles RADIUS standard et la redirection HTTP. Nous disposons de trois niveaux d'accès principaux. Premièrement, le Guest WiFi. Il s'agit d'un SSID ouvert. L'AP WatchGuard intercepte les requêtes HTTP et redirige l'utilisateur vers la splash page hébergée de Purple. Deuxièmement, le Staff WiFi. Il s'agit d'un SSID sécurisé WPA3-Enterprise utilisant le protocole 802.1X. Les appareils s'authentifient directement auprès des serveurs RADIUS de Purple à l'aide d'EAP-TLS ou de PEAP. Troisièmement, le WiFi Multi-Tenant. Celui-ci utilise le PPSK de WatchGuard. Plusieurs utilisateurs se connectent à un seul SSID, mais chacun utilise un mot de passe unique. L'AP WatchGuard interroge le serveur RADIUS de Purple, qui attribue ensuite dynamiquement un VLAN en fonction de cette clé spécifique.

Alors, comment configurer le Captive Portal pour le Guest WiFi ? La première étape consiste à configurer le serveur RADIUS dans WatchGuard Cloud ou dans le Firebox Policy Manager. Vous pointez le serveur RADIUS principal vers l'adresse IP de Purple pour votre région. L'authentification s'effectue sur le port 1812, et l'accounting sur le port 1813. Vous saisissez le secret partagé fourni par Purple et, point crucial, vous vous assurez que le NAS ID correspond à l'adresse MAC du Firebox ou de l'AP. Cela permet à Purple d'identifier de quel site provient la demande.

La deuxième étape est la redirection du Captive Portal elle-même. Dans les paramètres du SSID, vous sélectionnez Third-Party Hosted Captive Portal with RADIUS Authentication. Vous saisissez l'URL de la splash page de Purple, ainsi que le secret partagé du portail. Il s'agit d'un secret spécifique généré dans le tableau de bord Purple Analyze, utilisé pour créer un condensé HMAC afin de valider les demandes d'authentification. L'algorithme HMAC-SHA1 garantit que le message de réussite d'authentification provenant de Purple est authentique et n'a pas été altéré en transit.

Troisième étape, et c'est là que de nombreux déploiements trébuchent : le Walled Garden. Si vous ne configurez pas cette option, l'appareil ne pourra pas charger la page d'accueil (splash page). Vous devez autoriser l'accès à star point mypurple point com, api point mypurple point com et cdn point mypurple point com avant la connexion. Si vous utilisez des connexions sociales comme Microsoft Entra ID ou Google Workspace, vous devez également ajouter les domaines de ces fournisseurs d'identité. Considérez le Walled Garden comme un hall d'accueil de pré-authentification. Sans lui, l'invité ne peut même pas atteindre la porte d'entrée.

Examinons maintenant la segmentation Multi-Tenant avec WatchGuard PPSK. Si vous gérez un centre commercial de 15 boutiques, diffuser 15 SSID différents est une mauvaise approche. Cela provoque des interférences de co-canal, encombre l'espace hertzien et crée une surcharge de gestion. Le PPSK résout ce problème de manière élégante. Vous diffusez un seul SSID, par exemple Centre-Retail. Vous activez la clé prépartagée privée (PPSK) dans les paramètres du SSID WatchGuard, ce qui nécessite la version 2.6 ou supérieure du firmware sur vos points d'accès WatchGuard. Dans Purple, vous créez des clés uniques, une par client (tenant).

Pour isoler le trafic, vous utilisez l'attribution dynamique de VLAN (Dynamic VLAN Assignment). Dans WatchGuard Cloud, vous configurez le VLAN sur Dynamic VLAN attribué par RADIUS. Lorsqu'une boutique connecte un appareil en utilisant sa clé spécifique, le point d'accès envoie une requête Access-Request au serveur RADIUS de Purple. Purple valide la clé et renvoie un paquet Access-Accept contenant trois attributs RADIUS IETF essentiels : Tunnel-Type (attribut 64) défini sur VLAN, Tunnel-Medium-Type (attribut 65) défini sur 802, et Tunnel-Private-Group-ID (attribut 81) défini sur l'ID de VLAN attribué, par exemple le VLAN 100 pour le locataire Retail A. Le point d'accès WatchGuard place ensuite cet appareil sur le VLAN 100, complètement isolé des autres locataires. C'est le principe même du réseau basé sur l'identité (Identity-Based Networking).

Abordons les recommandations d'implémentation et les pièges courants. Tout d'abord, les expirations de session (session timeouts). Configurez des délais d'expiration stricts dans Purple et WatchGuard pour forcer la réauthentification. Cela permet de maintenir la précision de vos analyses et d'éviter que les sessions inactives ne consomment de la bande passante. Définissez vos intervalles RADIUS Interim-Update sur 10 minutes. Deuxièmement, le firmware. Vous devez vous assurer que vos points d'accès WatchGuard exécutent la version 2.6 ou supérieure du firmware pour prendre en charge le PPSK. Les versions antérieures du firmware ne prennent pas en charge cette fonctionnalité. Troisièmement, la randomisation des adresses MAC. Les appareils modernes randomisent leurs adresses MAC par défaut. Pour votre réseau WiFi sécurisé destiné au personnel, demandez à vos collaborateurs de désactiver cette fonctionnalité pour ce SSID spécifique afin de garantir une authentification 802.1X stable. La randomisation des adresses MAC peut entraîner des échecs d'authentification et des données d'analyse incohérentes.

Que se passe-t-il lorsque les choses tournent mal ? Si le Captive Portal ne parvient pas à se charger, vérifiez d'abord le Walled Garden. Si l'appareil ne peut pas résoudre le DNS ou atteindre les serveurs Purple, il affichera une erreur de délai d'attente plutôt que la page de splash. Si le routage VLAN échoue et que le client reçoit une IP du mauvais VLAN, vérifiez les journaux RADIUS dans le portail Purple. Assurez-vous que l'attribut Tunnel-Private-Group-ID est correctement formaté en tant que chaîne de caractères et correspond à un VLAN qui existe réellement sur le port du commutateur connecté à l'AP. Si vous constatez des erreurs de résumé HMAC dans les journaux WatchGuard, votre clé secrète partagée du Captive Portal ne correspond pas entre WatchGuard et Purple. Elle doit être rigoureusement identique dans les deux systèmes, caractère par caractère.

Passons à une session de questions-réponses rapide. Question : Puis-je utiliser le PPSK et le Captive Portal sur le même SSID ? Réponse : Non. WatchGuard ne prend pas en charge l'exécution simultanée de VLAN dynamiques via PPSK et d'un Captive Portal sur le même SSID. Vous devez configurer un SSID pour le portail et un SSID distinct pour le PPSK. Planifiez votre architecture de SSID en conséquence. Question : Que se passe-t-il si le serveur RADIUS ne renvoie pas d'ID de VLAN pour un utilisateur PPSK ? Réponse : Dans WatchGuard Cloud, vous configurez une option de repli pour les clients non attribués. Vous pouvez les rediriger vers un VLAN non étiqueté ou un VLAN de quarantaine isolé spécifique pour vous assurer qu'ils n'accèdent pas au réseau de l'entreprise. Configurez toujours cette option de repli pour éviter tout accès accidentel.

En résumé, l'intégration de WatchGuard Firebox avec Purple vous offre une plateforme unifiée pour la sécurité, l'identité et l'analyse sur les réseaux Guest, Staff et Multi-Tenant. Vous utilisez la redirection externe du Captive Portal pour les invités, le 802.1X pour le personnel, et le PPSK avec des VLAN dynamiques pour les environnements multi-locataires. Le ROI est évident. Vous réduisez les coûts matériels en consolidant les passerelles, vous simplifiez la gestion grâce à une plateforme SaaS unique dans le cloud, et vous générez des revenus en collectant des données de première main via le Captive Portal de Purple. Vos prochaines étapes consistent à examiner votre architecture de SSID actuelle, à vous assurer que le firmware de votre WatchGuard est en version 2.6 ou supérieure, et à commencer à configurer vos paramètres RADIUS dans le portail Purple. Merci pour votre attention.

Points clés à retenir

✓WatchGuard Firebox s'intègre à Purple via le protocole RADIUS standard (ports 1812/1813) et la redirection vers le Captive Portal HTTP, prenant en charge le WiFi invités (Guest WiFi), le WiFi collaborateurs (Staff WiFi) et le WiFi multi-locataire à partir d'un seul parc de bornes d'accès.
✓Le Captive Portal pour le Guest WiFi nécessite l'URL de la Splash Page, un secret partagé (pour la validation HMAC-SHA1) et des entrées Walled Garden pour les domaines de Purple - l'absence de l'un de ces éléments entraîne l'échec du portail.
✓Le Staff WiFi utilise la norme IEEE 802.1X (EAP-TLS ou PEAP) avec Purple comme serveur RADIUS, qui peut déléguer l'authentification à Microsoft Entra ID, Okta ou Google Workspace pour la gestion du cycle de vie des identités.
✓WatchGuard PPSK (firmware v2.6+) permet la segmentation multi-locataire sur un seul SSID - chaque locataire reçoit une clé unique, et le serveur RADIUS de Purple renvoie des attributs VLAN (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) pour isoler leur trafic.
✓L'aiguillage dynamique de VLAN et le Captive Portal ne peuvent pas fonctionner sur le même SSID dans WatchGuard - planifiez votre architecture SSID avec des SSIDs distincts pour le portail invité et l'accès multi-locataire PPSK.
✓Configurez toujours un VLAN de secours en quarantaine pour les clients PPSK non attribués afin d'éviter que les appareils qui échouent à la validation RADIUS ne se retrouvent sur le VLAN d'administration.
✓Purple est certifié ISO 27001, GDPR, CCPA et Cyber Essentials, et maintient une disponibilité de 99,999 % - la plateforme gère les exigences de conformité et de disponibilité pour les déploiements de sites d'entreprise.

Synthèse décisionnelle

Le déploiement d'une infrastructure sans fil sécurisée et évolutive dans des espaces complexes nécessite une intégration précise entre votre passerelle de sécurité et votre fournisseur d'identité. Ce guide détaille l'intégration de WatchGuard Firebox et des points d'accès WatchGuard avec Purple, couvrant trois niveaux d'accès distincts : la redirection vers le Captive Portal pour le Guest WiFi , le WiFi sécurisé pour le personnel via IEEE 802.1X, et la segmentation WiFi multi-locataire via les clés prépartagées privées (PPSK) de WatchGuard.

En associant la plateforme de sécurité unifiée de WatchGuard à la solution cloud de Purple, vous automatisez le contrôle d'accès basé sur l'identité, appliquez des politiques de sécurité granulaires et collectez des données de première main à grande échelle. Purple est déployé dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). L'intégration est par nature indépendante du matériel - WatchGuard figure aux côtés de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet dans la liste des matériels compatibles avec Purple. Pour une vision plus large des normes de sécurité WiFi pour les entreprises, consultez notre guide Enterprise WiFi Security: A Complete Guide for 2026 .

Architecture technique

L'intégration connecte le matériel WatchGuard aux services cloud de Purple via deux mécanismes standards : RADIUS (Remote Authentication Dial-In User Service) pour l'authentification et la comptabilisation, et la redirection HTTP pour la diffusion du Captive Portal. L'architecture prend en charge trois niveaux d'accès sur une seule infrastructure physique.

Niveau d'accès	Type de SSID	Méthode d'authentification	Rôle de Purple
Guest WiFi	Ouvert	Captive Portal externe + comptabilisation RADIUS	Portail de connexion, capture de données, analyses
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS ou PEAP)	Serveur RADIUS, proxy de fournisseur d'identité
Multi-Tenant WiFi	WPA2/WPA3 Personal + PPSK	PPSK validée par RADIUS	Gestion des clés, attribution dynamique de VLAN

Ces trois niveaux peuvent fonctionner simultanément sur la même flotte de points d'accès WatchGuard. Les modèles Wi-Fi 6 de WatchGuard - AP130, AP230W, AP330, AP332CR, AP430CR et AP432 - prennent en charge le PPSK à partir de la version de firmware v2.6.

Configuration de la redirection vers le Captive Portal Guest WiFi

L'intégration du Captive Portal de WatchGuard redirige les requêtes HTTP non authentifiées vers le portail de connexion hébergé par Purple. Il s'agit du mécanisme principal pour collecter des données de première main et faire respecter les conditions d'utilisation.

Étape 1 : Configuration du serveur RADIUS

Dans WatchGuard Cloud ou Firebox Policy Manager, configurez Purple comme serveur d'authentification et de comptabilisation RADIUS.

Serveur RADIUS principal : Définissez-le sur l'adresse IP RADIUS de Purple pour votre région (disponible dans le portail Purple sous Paramètres > Intégration matérielle).
Port d'authentification : 1812
Port de comptabilité : 1813
Secret partagé : Saisissez le secret unique fourni dans le portail Purple.
Identifiant NAS (NAS ID) : Définissez-le sur l'adresse MAC du Firebox ou du point d'accès en utilisant le spécificateur de format %m. Cela permet d'identifier l'établissement auprès de Purple et d'acheminer les données analytiques vers le bon compte.
Intervalle de comptabilité : Définissez-le sur 10 minutes pour garantir que les données de session soient transmises à intervalles réguliers vers le tableau de bord analytique de Purple.

Étape 2 : Paramètres du SSID et du Captive Portal

Dans WatchGuard Cloud, accédez à Configurer > Appareils > [Votre point d'accès] > Configuration de l'appareil > SSIDs. Créez ou modifiez le SSID invité.

Sécurité : Ouvert (pas de mot de passe de pré-authentification).
Type de Captive Portal : Sélectionnez Captive Portal hébergé par un tiers avec authentification RADIUS.
URL de la Splash Page : Saisissez l'URL de la splash page de Purple (par ex., https://wifi.mypurple.com/splash). Récupérez-la depuis Purple > Analyser > Portails.
Secret partagé : Saisissez le secret partagé du portail depuis cette même page de portails d'analyse de Purple. Ce secret génère le condensé HMAC-SHA1 que WatchGuard utilise pour valider la réponse de succès d'authentification envoyée par Purple.

Étape 3 : Configuration du Walled Garden (Espace restreint)

Le Walled Garden définit les domaines auxquels un appareil peut accéder avant la fin de l'authentification. Sans cela, l'appareil ne peut pas charger la splash page de Purple. Ajoutez les entrées suivantes dans Sites Web auxquels les utilisateurs peuvent accéder avant la connexion :

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

Si vous activez les connexions via les réseaux sociaux ou fédérées avec Microsoft Entra ID, Okta ou Google Workspace, ajoutez les domaines des fournisseurs d'identité concernés (par ex., login.microsoftonline.com, accounts.google.com). Pour plus d'informations juridiques et de conformité concernant les infrastructures WiFi partagées, consultez notre guide sur les Exigences légales et de conformité pour les infrastructures WiFi partagées .

Fonctionnement du flux d'authentification HMAC

Comprendre ce flux vous permet de diagnostiquer rapidement les dysfonctionnements.

L'appareil de l'invité se connecte au SSID ouvert et effectue une requête HTTP.
Le point d'accès WatchGuard intercepte la requête et redirige le navigateur vers l'URL de la splash page de Purple, en y ajoutant un paramètre challenge (une chaîne de caractères hexadécimale aléatoire) et l'adresse MAC de l'appareil.
Purple affiche la splash page. L'invité remplit le formulaire de connexion.
Purple génère un condensé HMAC-SHA1 à l'aide du secret partagé du portail et de la valeur du challenge.
Purple redirige le navigateur vers l'URL de connexion du point d'accès WatchGuard, en y ajoutant le challenge et le condensé.
Le point d'accès WatchGuard valide le condensé en utilisant le même secret partagé. S'il correspond, le point d'accès accorde l'accès à Internet et envoie un paquet RADIUS Accounting Start à Purple.

Sécuriser le WiFi du personnel avec 802.1X

Pour le WiFi du personnel, vous remplacez le Captive Portal par IEEE 802.1X, la norme d'entreprise pour le contrôle d'accès réseau basé sur les ports. Chaque collaborateur s'authentifie à l'aide d'identifiants uniques ou d'un certificat, éliminant ainsi le risque lié aux mots de passe partagés.

Dans WatchGuard Cloud, configurez le SSID du personnel avec la sécurité WPA3 Enterprise et pointez le Domaine d'authentification vers le serveur RADIUS de Purple. Purple agit en tant que serveur RADIUS et peut relayer les requêtes d'authentification vers Microsoft Entra ID, Okta ou Google Workspace via SAML ou LDAP.

Pour l'authentification par certificat (EAP-TLS), déployez les certificats clients via votre MDM sur les appareils gérés. Pour l'authentification par identifiants (PEAP-MSCHAPv2), les utilisateurs s'authentifient avec leurs identifiants d'annuaire. Purple valide la demande auprès du fournisseur d'identité configuré et renvoie un message RADIUS Access-Accept ou Access-Reject au point d'accès WatchGuard.

Pour un guide détaillé sur la configuration de la norme 802.1X selon les types d'appareils, consultez notre guide sur l'authentification 802.1X : sécuriser l'accès réseau sur les appareils modernes .

Remarque importante sur la randomisation des adresses MAC : Les appareils modernes iOS et Android randomisent leurs adresses MAC par défaut. Pour le WiFi du personnel configuré en 802.1X, demandez aux collaborateurs de désactiver la randomisation MAC pour le SSID du personnel. Les adresses MAC randomisées entraînent des journaux d'authentification incohérents et bloquent l'application des politiques basées sur les adresses MAC.

WiFi multi-locataire avec WatchGuard PPSK

La diffusion d'un SSID distinct par locataire dans un centre commercial, un espace de coworking ou un immeuble d'habitation géré (BTR) provoque des interférences de canal et encombre l'environnement radio. La fonctionnalité PPSK (Private Pre-Shared Key) de WatchGuard — introduite dans la version v2.6 du micrologiciel des points d'accès — résout ce problème en attribuant un mot de passe unique à chaque utilisateur ou locataire sur un seul et même SSID.

Étape 1 : Activer la fonction PPSK sur le SSID

Dans WatchGuard Cloud, modifiez le SSID cible (par exemple, Venue-WiFi).

Sécurité : WPA2 Personal ou WPA3 Personal.
Authentification : Activez l'option Private Pre-Shared Key (PPSK).
Serveur RADIUS : Pointez vers le serveur RADIUS de Purple. Purple gère le stockage des identifiants PPSK et renvoie les attributs VLAN lors de l'authentification.

Étape 2 : Configurer l'attribution dynamique de VLAN

Pour isoler le trafic des locataires, le point d'accès WatchGuard attribue un VLAN spécifique en fonction de la clé PPSK utilisée.

Paramètre VLAN : Sélectionnez VLAN dynamique attribué par RADIUS.
Repli pour clients non attribués : Sélectionnez un VLAN de quarantaine isolé (par exemple, le VLAN 999) afin de garantir que les appareils échouant à la validation RADIUS ne puissent pas accéder au réseau d'entreprise.

Prérequis pour les VLAN dynamiques sur les points d'accès WatchGuard :

Micrologiciel du point d'accès version v2.2 ou supérieure.
Le protocole NAT doit être désactivé sur le SSID.
Les VLAN dynamiques et le Captive Portal ne peuvent pas fonctionner simultanément sur le même SSID.
Le port du switch connecté à l'AP doit être configuré en mode trunk acheminant tous les VLAN concernés.

Étape 3 : Attributs RADIUS pour l'orientation VLAN (VLAN steering)

Lorsqu'un utilisateur se connecte à l'aide d'une PPSK, l'AP WatchGuard envoie une requête RADIUS Access-Request à Purple. Purple valide la clé et renvoie un paquet Access-Accept contenant trois attributs RADIUS IETF :

Attribut RADIUS	Numéro d'attribut	Valeur
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	ID du VLAN (ex. : "100")

L'AP WatchGuard lit l'attribut 81 et place le client sur le VLAN correspondant. Dans Purple, vous associez chaque identifiant PPSK à un ID de VLAN et à un rôle spécifiques. C'est le mécanisme qui sous-tend les réseaux basés sur l'identité (Identity-Based Networks) : l'identifiant détermine le segment de réseau, et non l'SSID.

Bonnes pratiques de déploiement

Ces recommandations s'appliquent aux déploiements dans les secteurs de l'hôtellerie , du commerce de détail , de la santé et du transport .

Expirations de session : Configurez les expirations de session à la fois dans Purple et dans WatchGuard pour forcer une réauthentification à intervalles réguliers. Cela garantit la précision des analyses et empêche les sessions obsolètes de consommer de la bande passante. Définissez l'intervalle de mise à jour intermédiaire RADIUS (Acct-Interim-Interval) sur 600 secondes (10 minutes).

Gestion du firmware : Assurez-vous que les points d'accès WatchGuard exécutent la version v2.6 ou supérieure du firmware pour la prise en charge des PPSK. Utilisez WatchGuard Cloud pour planifier les mises à niveau du firmware en dehors des heures de pointe afin d'éviter les interruptions de couverture.

Conformité PCI DSS : Pour les environnements de commerce de détail traitant des paiements par carte, isolez les terminaux de point de vente (POS) sur un VLAN dédié (par exemple, le VLAN 200) à l'aide de PPSK. Assurez-vous que le VLAN Guest WiFi n'a aucune route vers le VLAN POS. Cela permet de répondre aux exigences de segmentation réseau de la norme PCI DSS.

GDPR et collecte de données : Le Captive Portal de Purple utilise des options d'acceptation par choix conscient, garantissant que la collecte de données respecte les exigences du GDPR. Purple est certifié ISO 27001, GDPR, CCPA et Cyber Essentials. Assurez-vous que votre portail d'accès inclut un avis de confidentialité clair et un lien vers les conditions de service avant que la saisie des données ne commence.

Dépannage et atténuation des risques

Le Captive Portal ne se charge pas : Le Walled Garden est le premier élément à vérifier. Si l'appareil ne parvient pas à résoudre le DNS ou à joindre les serveurs de Purple avant l'authentification, le navigateur affichera une erreur de délai d'attente (timeout) au lieu de la page de connexion. Vérifiez que tous les domaines de Purple figurent dans la liste du Walled Garden et que les paramètres DNS de WatchGuard permettent la résolution pré-authentification.

Erreurs de validation de signature HMAC : Si les journaux de WatchGuard indiquent des échecs d'authentification avec des erreurs HMAC, le secret partagé du Captive Portal ne correspond pas entre WatchGuard et Purple. Il doit être strictement identique dans les deux systèmes. Régénérez le secret dans Purple et saisissez-le à nouveau dans WatchGuard Cloud.

Échec du routage VLAN (VLAN steering) : Si un utilisateur PPSK reçoit une IP du mauvais VLAN, vérifiez les journaux RADIUS dans le portail Purple. Vérifiez que Purple renvoie bien les trois attributs RADIUS de l'IETF. Assurez-vous que la valeur Tunnel-Private-Group-ID est formatée sous forme de chaîne et correspond à un ID de VLAN configuré sur le port trunk du commutateur.

Conflit entre PPSK et Captive Portal : WatchGuard ne prend pas en charge les VLAN dynamiques et le Captive Portal sur le même SSID. Si vous avez besoin des deux, utilisez deux SSIDs : un pour le Captive Portal invité et un pour l'accès multi-locataire PPSK.

Échecs d'authentification 802.1X : Utilisez l'outil de capture de paquets disponible dans le firmware WatchGuard AP v2.5 et versions ultérieures pour capturer le trafic entre l'AP et le serveur RADIUS. Recherchez les paquets RADIUS Access-Reject et le code de motif dans l'attribut du message de réponse.

ROI et impact commercial

L'intégration de WatchGuard et Purple consolide la sécurité et les analyses au sein d'une architecture unique. Un hôtel de 200 chambres utilisant cette intégration élimine le besoin de passerelles distinctes pour les invités et le personnel, réduisant ainsi les dépenses de matériel d'environ 30 % par rapport à un déploiement multi-passerelle (données internes de Purple). Le Captive Portal Guest WiFi capture des données de première main - adresses e-mail, informations démographiques et fréquence des visites - qui génèrent des revenus de marketing direct grâce à l'offre Engage de Purple.

Pour les sites multi-locataires, PPSK élimine la charge opérationnelle liée à la gestion de plusieurs SSIDs. Un centre commercial gérant 15 boutiques sur un seul SSID réduit l'utilisation des ressources radio de l'AP et simplifie les audits réseau. Les WiFi Analytics de Purple fournissent aux exploitants de sites des données sur le temps de séjour, la fréquentation et les visites répétées - des indicateurs qui justifient l'investissement d'infrastructure auprès des équipes financières.

Purple maintient un taux de disponibilité de 99,999 % (données internes de Purple), garantissant que le Captive Portal Guest WiFi reste accessible même pendant les périodes de pointe dans les lieux à forte densité comme les stades et les centres de conférence.

Définitions clés

PPSK (Private Pre-Shared Key)

Une fonctionnalité de sécurité qui attribue un mot de passe unique à chaque utilisateur ou appareil sur un SSID WPA2/WPA3 Personal. Introduit dans le firmware AP WatchGuard v2.6.

Utilisé dans les environnements multi-locataires — centres commerciaux, espaces de coworking, développements BTR — pour segmenter les utilisateurs sans nécessiter de configuration de demandeur 802.1X sur les appareils clients.

Routage VLAN dynamique

Le processus d'attribution d'un appareil réseau à un réseau local virtuel (VLAN) spécifique en fonction des attributs RADIUS (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) renvoyés lors de l'authentification.

Le mécanisme qui isole le trafic des locataires, du personnel et des invités sur le même point d'accès physique. Nécessite le firmware AP v2.2 ou supérieur sur le matériel WatchGuard.

Walled Garden

Une liste d'adresses IP ou de domaines qu'un utilisateur non authentifié est autorisé à consulter avant de finaliser l'authentification sur le Captive Portal.

Requis pour permettre aux appareils des invités de charger la splash page Purple et de finaliser les connexions fédérées (Microsoft Entra ID, Google Workspace) avant qu'un accès complet à Internet ne soit accordé.

Condensé HMAC

Un hachage cryptographique (HMAC-SHA1) utilisé pour vérifier l'intégrité et l'authenticité du message de réussite d'authentification provenant du Captive Portal.

WatchGuard valide le condensé HMAC à l'aide du secret partagé du Captive Portal. Un décalage entre le secret dans WatchGuard et Purple entraîne des échecs d'authentification.

Comptabilité RADIUS

Le composant du protocole RADIUS qui suit l'utilisation du réseau, y compris le début de la session, sa durée et le volume de données transférées.

Purple s'appuie sur les paquets de comptabilité RADIUS du WatchGuard Firebox pour alimenter le tableau de bord analytique et appliquer les limites de temps de session. Fonctionne sur le port 1813.

Captive Portal

Une page web vers laquelle un appareil est redirigé avant de pouvoir accéder à un réseau public. WatchGuard intercepte les requêtes HTTP et les redirige vers l'URL du portail externe configuré.

Le mécanisme principal pour capturer des données de première partie et appliquer les conditions d'utilisation sur les réseaux WiFi invités. Purple héberge la splash page et gère les données.

802.1X

Une norme IEEE pour le contrôle d'accès réseau basé sur les ports. Exige que chaque appareil s'authentifie avec des identifiants uniques ou un certificat avant de pouvoir accéder au réseau.

La norme d'entreprise pour sécuriser le WiFi du personnel. Élimine le risque de mot de passe partagé de WPA2 Personal. Nécessite un serveur RADIUS (Purple) et un demandeur sur l'appareil client.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification 802.1X hautement sécurisée nécessitant à la fois un certificat client et un certificat serveur pour une authentification mutuelle.

Utilisé dans les environnements hautement sécurisés où les appareils sont gérés par un MDM. Garantit que seuls les appareils de l'entreprise dotés de certificats valides peuvent se connecter au SSID WiFi du personnel.

NAS ID (Network Access Server Identifier)

Une chaîne de caractères envoyée dans les paquets RADIUS qui identifie l'appareil réseau (AP ou Firebox) émettant la demande d'authentification.

Purple utilise le NAS ID pour identifier le site d'origine d'une requête RADIUS. Généralement configuré sur l'adresse MAC de l'AP à l'aide du spécificateur de format %m dans WatchGuard.

Gestion réseau basée sur l'identité

Une architecture réseau dans laquelle les politiques d'accès, les attributions de VLAN et les contrôles de sécurité sont déterminés par l'identité de l'utilisateur plutôt que par son port physique ou son SSID.

La combinaison de WatchGuard PPSK, Purple RADIUS et du routage VLAN dynamique offre une gestion réseau basée sur l'identité — l'identifiant détermine automatiquement le segment réseau.

Exemples concrets

Un hôtel Premier Inn de 200 chambres doit fournir un Guest WiFi pour les clients, un WiFi sécurisé pour le personnel d'accueil et d'administration, ainsi qu'un réseau distinct pour les appareils IoT (smart TV, serrures de porte). L'établissement dispose de points d'accès WatchGuard AP330 gérés via WatchGuard Cloud et d'une passerelle Firebox T85. Comment doivent-ils concevoir l'architecture de ces trois réseaux ?

Déployez trois SSID sur le parc de WatchGuard AP330. SSID 1 : 'Premier-Guest' - SSID ouvert avec redirection de Captive Portal externe vers Purple. Configurez le Firebox T85 en tant que client RADIUS pointant vers les serveurs de Purple (ports 1812/1813). Ajoutez les domaines du Walled Garden de Purple. Les clients s'authentifient via la page de connexion de Purple en utilisant leur e-mail, un réseau social ou un code de chambre. SSID 2 : 'Premier-Staff' - SSID WPA3-Enterprise avec authentification 802.1X. Orientez le domaine d'authentification vers le serveur RADIUS de Purple, qui relaie les identifiants vers le tenant Microsoft Entra ID de l'établissement. Le personnel s'authentifie avec ses identifiants d'entreprise. SSID 3 : 'Premier-IoT' - SSID WPA2 Personal avec un PSK statique, placé sur un VLAN dédié (par exemple, VLAN 50) avec des règles de pare-feu bloquant l'accès aux VLAN du personnel et des clients. Le Firebox T85 applique les politiques de routage inter-VLAN. Les trois SSID sont diffusés sur le même matériel de point d'accès, ce qui réduit les coûts d'infrastructure.

Commentaire de l'examinateur : Cette architecture respecte le principe du moindre privilège. Chaque niveau d'accès dispose de l'accès réseau minimal requis pour sa fonction. Le SSID IoT utilise un PSK statique plutôt qu'un PPSK, car les appareils IoT ne peuvent généralement pas gérer la rotation dynamique des identifiants. La décision clé consiste à utiliser Purple comme serveur RADIUS pour les niveaux clients et personnel, ce qui centralise la gestion des identités et les analyses au sein d'une seule et même plateforme.

Un centre commercial gérant 12 boutiques souhaite fournir à chaque locataire un accès WiFi isolé en utilisant un seul SSID. Le centre doit également s'assurer que la compromission des identifiants d'un locataire n'expose pas le trafic des autres locataires. Ils utilisent des points d'accès WatchGuard AP230W dotés du firmware v2.6.

Configurez un seul SSID : 'Centre-Retail' avec WPA2 Personal et PPSK activé. Dans Purple, créez 12 identifiants PPSK uniques, un par locataire. Associez chaque identifiant à un VLAN dédié (par exemple, VLAN 101 pour le locataire 1, VLAN 102 pour le locataire 2, et ainsi de suite). Dans WatchGuard Cloud, configurez le VLAN du SSID sur 'Dynamic VLAN assigned by RADIUS' avec un repli vers un VLAN de quarantaine (VLAN 999). Configurez les ports de commutateur connectés à l'AP230W en tant que ports trunk acheminant les VLAN 101-112 et 999. Lorsqu'un appareil d'un locataire se connecte à l'aide de son PPSK, le point d'accès interroge le RADIUS de Purple, reçoit l'attribut Tunnel-Private-Group-ID et place l'appareil sur le bon VLAN. Si l'identifiant du locataire 3 est compromis, seul le VLAN 103 est exposé, tous les autres locataires restant isolés.

Commentaire de l'examinateur : Le PPSK permet une isolation par identifiant sans la complexité de la gestion des certificats 802.1X. La décision de conception critique concerne le VLAN de repli. Si aucun VLAN de quarantaine n'est configuré, un appareil qui échoue à la validation RADIUS pourrait être placé sur le VLAN non étiqueté par défaut, risquant ainsi d'accéder à l'infrastructure d'administration. Configurez toujours le repli de manière explicite.

Questions d'entraînement

Q1. Un responsable informatique d'hôtel signale que les clients se connectent au WiFi mais que la splash page Purple n'apparaît jamais. Le navigateur affiche une erreur de délai d'attente de connexion (timeout). La configuration WatchGuard Cloud montre l'URL de la splash page Purple et le secret partagé corrects. Quelle est la cause la plus probable et comment la résoudre ?

Conseil : Réfléchissez à ce qui doit se passer avant que l'appareil ne soit authentifié. Quels domaines l'appareil doit-il atteindre pour charger la splash page ?

Voir la réponse type

Le Walled Garden est manquant ou incomplet. Le WatchGuard Firebox bloque la requête HTTP initiale de l'appareil vers les serveurs de Purple avant que l'authentification ne soit terminée. Ajoutez les domaines Purple requis à la liste des "Sites Web auxquels les utilisateurs peuvent accéder avant de se connecter" : *.mypurple.com, api.mypurple.com et cdn.mypurple.com. Si les clients utilisent des identifiants sociaux, ajoutez également les domaines des fournisseurs d'identité concernés (par exemple, login.microsoftonline.com pour Entra ID).

Q2. Vous configurez le routage VLAN basé sur PPSK pour un espace de coworking de 8 membres. L'authentification RADIUS réussit (les journaux WatchGuard affichent Access-Accept), mais l'appareil de chaque membre reçoit une adresse IP du VLAN 1 (le VLAN de gestion par défaut) au lieu de son VLAN locataire attribué. Comment diagnostiquez-vous et résolvez-vous ce problème ?

Conseil : L'authentification a réussi, l'identifiant est donc valide. Le problème se situe au niveau de l'attribution du VLAN. De quoi WatchGuard a-t-il besoin de la part du serveur RADIUS pour attribuer un VLAN ?

Voir la réponse type

Le paquet RADIUS Access-Accept de Purple ne contient pas les attributs VLAN ou les formate incorrectement. Capturez le trafic RADIUS sur l'AP à l'aide de l'outil de capture de paquets de WatchGuard et inspectez le paquet Access-Accept. Vérifiez que Purple renvoie bien les trois attributs IETF : Tunnel-Type (attribut 64, valeur 13), Tunnel-Medium-Type (attribut 65, valeur 6) et Tunnel-Private-Group-ID (attribut 81, configuré avec l'ID du VLAN sous forme de chaîne, par exemple "101"). Confirmez également que le port du commutateur connecté à l'AP est configuré en tant que port trunk acheminant les VLAN concernés, et que le paramètre VLAN du SSID dans WatchGuard Cloud est configuré sur "VLAN dynamique attribué par RADIUS" plutôt que sur un ID de VLAN statique.

Q3. Un exploitant de site souhaite faire fonctionner un Captive Portal pour WiFi invités (splash page Purple) et un réseau PPSK multi-locataires pour 6 unités commerciales sur le même point d'accès WatchGuard AP330. Il prévoit de configurer ces deux fonctionnalités sur un seul SSID afin de simplifier l'environnement RF. Est-ce possible ? Si non, quelle est l'architecture correcte ?

Conseil : Passez en revue les exigences relatives aux VLAN dynamiques de WatchGuard. Existe-t-il des conflits de fonctionnalités ?

Voir la réponse type

Ce n'est pas possible sur un seul SSID. WatchGuard ne prend pas en charge simultanément les VLAN dynamiques (requis pour le PPSK) et le Captive Portal sur le même SSID. L'architecture correcte utilise deux SSIDs : le SSID 1 ("Venue-Guest") configuré comme un SSID ouvert avec redirection externe vers le Captive Portal de Purple pour les invités publics ; le SSID 2 ("Venue-Retail") configuré avec WPA2 Personal, PPSK activé, et attribution dynamique de VLAN pour les 6 locataires commerciaux. Les deux SSIDs émettent à partir du même matériel AP330, de sorte que l'impact RF se limite à une balise SSID supplémentaire. Le port du commutateur connecté à l'AP doit être un port trunk acheminant tous les VLAN concernés pour les deux SSIDs.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.