Mikrotik RouterOS et WiFi visiteur : configuration du Captive Portal avec Purple

Guide d'intégration du Captive Portal MikroTik RouterOS et de Purple WiFi - Script de Podcast [INTRO - environ 1 minute] Bienvenue. Si vous gérez une infrastructure WiFi dans un hôtel, une chaîne de magasins, un stade ou un centre de conférences, et que vous utilisez MikroTik RouterOS, cet épisode est pour vous. Je vais vous expliquer exactement comment intégrer la passerelle Hotspot de MikroTik avec la plateforme de WiFi invité de Purple - en couvrant trois cas d'usage distincts : le WiFi invité avec un Captive Portal et un walled garden, le WiFi collaborateur sécurisé via 802.1X, et la ségrégation de réseau multi-locataire à l'aide de la fonctionnalité Private Pre-Shared Key de MikroTik. Il ne s'agit pas d'un aperçu théorique. À la fin de cet épisode, vous disposerez des commandes CLI spécifiques, des attributs RADIUS et de la logique de configuration nécessaires pour déployer ou auditer vous-même ces configurations. C'est parti. [DEEP-DIVE TECHNIQUE - environ 5 minutes] Première partie : Le WiFi invité et le Captive Portal MikroTik. La passerelle Hotspot de MikroTik est le moteur de la redirection du WiFi invité sur RouterOS. Lorsqu'un visiteur se connecte à votre SSID invité, la passerelle Hotspot intercepte son trafic HTTP et le redirige vers une page de connexion - c'est votre Captive Portal. Purple héberge cette page de connexion. Votre routeur MikroTik agit en tant que passerelle Hotspot et client RADIUS. La plateforme de Purple agit en tant que serveur RADIUS. Voici comment la configurer. Tout d'abord, exécutez l'assistant de configuration Hotspot depuis le menu IP dans Winbox ou via la CLI. Vous l'associerez à votre interface dédiée aux invités - généralement une interface VLAN ou un port de pont (bridge). Définissez votre pool d'adresses locales, configurez vos serveurs DNS et attribuez un nom DNS au hotspot. Ce nom DNS est ce que les invités voient dans leur navigateur avant de s'authentifier. Une fois l'assistant terminé, vous devez pointer le profil du hotspot vers le serveur RADIUS de Purple. Dans la CLI, cela ressemble à ceci : /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Activez ensuite RADIUS sur le profil du hotspot : /ip hotspot profile set default use-radius=yes Purple vous fournira l'adresse IP RADIUS, le secret partagé et l'URL de la page de connexion lorsque vous configurerez votre site dans le portail Purple. Maintenant, le walled garden. C'est une étape critique. Avant qu'un invité ne s'authentifie, son appareil doit pouvoir accéder à la page de connexion de Purple ainsi qu'aux éventuels fournisseurs d'authentification OAuth que vous utilisez - Google, Facebook, etc. Sans les entrées de walled garden, la boucle de redirection échoue et les invités ne peuvent pas se connecter. Dans RouterOS, vous ajoutez des entrées de walled garden sous IP, Hotspot, Walled Garden. Vous devez ajouter le domaine de la page de connexion de Purple, tous les domaines de connexion sociale et tous les hôtes CDN qui hébergent les ressources de la page de connexion. La documentation de Purple liste les domaines exacts pour votre région. Ajoutez-les sous forme d'entrées IP ou d'entrées de nom d'hôte - les entrées de nom d'hôte sont plus résilientes lorsque les adresses IP changent. Les attributs RADIUS clés que Purple renvoie lors d'une authentification réussie incluent la durée de validité de la session, qui contrôle combien de temps un invité reste connecté avant d'être invité à se reconnecter, et éventuellement une limite de bande passante utilisant l'attribut spécifique au fournisseur Mikrotik-Rate-Limit. Cela vous permet d'appliquer des politiques d'utilisation équitable par session d'invité directement depuis le tableau de bord Purple sans toucher à la configuration du routeur. Deuxième partie : WiFi pour le personnel sécurisé avec 802.1X. C'est ici que vous abandonnez complètement les mots de passe partagés. La norme IEEE 802.1X est la référence pour le contrôle d'accès réseau basé sur les ports. Sur une interface sans fil MikroTik, vous activez l'authentification WPA2-Enterprise ou WPA3-Enterprise, ce qui signifie que le point d'accès devient un authentificateur - il transmet les identifiants EAP de l'appareil du personnel à un serveur RADIUS, qui les valide et renvoie un Access-Accept ou un Access-Reject. Le produit Staff WiFi de Purple s'intègre avec Microsoft Entra ID, Okta et Google Workspace en tant que fournisseurs d'identité. Lorsqu'un appareil d'un collaborateur se connecte, il présente un certificat ou un nom d'utilisateur et un mot de passe via PEAP-MSCHAPv2. Le serveur RADIUS de Purple valide cet identifiant par rapport à votre fournisseur d'identité en temps réel. Du côté de MikroTik, vous configurez le profil de sécurité sans fil avec les types d'authentification définis sur wpa2-eap, et vous pointez le client RADIUS vers le serveur de Purple avec service=wireless. Dans CAPsMAN - le système de gestion centralisé des points d'accès de MikroTik - vous configurez cela au niveau de la configuration de sécurité pour qu'il s'applique de manière cohérente sur tous vos points d'accès gérés. Le serveur RADIUS peut renvoyer l'attribut Mikrotik-Wireless-VLANID pour placer le personnel authentifié sur un VLAN spécifique. C'est ainsi que vous appliquez la segmentation du réseau - le personnel de la finance se retrouve sur le VLAN 10, les opérations sur le VLAN 20, et ainsi de suite - le tout à partir d'un seul SSID, entièrement géré par l'identité. Pour la révocation automatique - lorsqu'un membre du personnel s'en va - l'intégration de Purple avec votre fournisseur d'identité signifie que lorsque vous désactivez le compte dans Entra ID ou Okta, la tentative de ré-authentification suivante échoue et l'appareil est déconnecté. Aucune modification manuelle de la configuration du routeur n'est requise. Troisième partie : WiFi multi-locataire avec clés pré-partagées privées. C'est la plus intéressante des trois sur le plan architectural. Le PSK privé - parfois appelé PPSK ou iPSK - vous permet de faire fonctionner un seul SSID où chaque locataire, résident ou groupe d'appareils se connecte avec une phrase de passe unique, et chaque phrase de passe est associée à un VLAN différent. Sur MikroTik, cela fonctionne via l'authentification RADIUS basée sur MAC sur l'interface sans fil. Lorsqu'un appareil se connecte, le point d'accès envoie l'adresse MAC de l'appareil au serveur RADIUS en tant que nom d'utilisateur. Le serveur RADIUS - soit le propre gestionnaire d'utilisateurs de MikroTik dans RouterOS 7, soit FreeRADIUS - recherche cette adresse MAC et renvoie deux attributs spécifiques au fournisseur : Mikrotik-Wireless-Psk, qui est la phrase de passe par appareil, et Mikrotik-Wireless-VLANID, qui place l'appareil sur le bon VLAN. Le profil de sécurité sans fil doit avoir radius-mac-authentication défini sur yes, et le client RADIUS requiert service=wireless. En pratique, pour une propriété build-to-rent de 200 appartements, vous pré-enregistrez l'adresse MAC des appareils de chaque résident dans la plateforme Purple lors de leur emménagement. Purple associe chaque MAC à une PSK unique et à un VLAN correspondant au segment réseau de cet appartement. Le résident se connecte en utilisant la phrase de passe de son appartement. Leurs appareils atterrissent sur un VLAN isolé. Les appareils de leur voisin sont sur un VLAN complètement séparé. Aucun ne peut voir le trafic de l'autre. Pour les appareils qui ne prennent pas en charge 802.1X - téléviseurs connectés, consoles de jeux, appareils IoT - cette approche est l'alternative pratique. L'appareil a juste besoin de prendre en charge WPA2-PSK, ce qui est le cas de tous. [RECOMMANDATIONS DE MISE EN OEUVRE ET PIÈGES À ÉVITER - environ 2 minutes] Permettez-moi de vous présenter les quatre problèmes les plus courants lors de ces déploiements. Premier point : les failles du walled garden. Si la splash page de Purple ne se charge pas, vérifiez vos entrées walled garden. Le coupable le plus fréquent est un domaine CDN manquant ou une redirection de connexion sociale qui n'est pas autorisée. Utilisez l'outil torch de MikroTik ou un analyseur de paquets pour observer quelles requêtes DNS sont bloquées avant l'authentification. Deuxième point : les disparités de timeout RADIUS. Le timeout RADIUS par défaut de MikroTik est de 1 100 millisecondes. Si le serveur RADIUS de Purple est géographiquement éloigné ou si le chemin réseau présente de la latence, vous constaterez des échecs d'authentification intermittents. Augmentez le timeout à 3 000 millisecondes et configurez un serveur RADIUS de secours pour la résilience. Troisième point : le filtrage VLAN non activé sur le pont. L'attribution dynamique de VLAN via RADIUS ne fonctionne que si le filtrage VLAN du pont est activé. Il s'agit d'une exigence de RouterOS. Si vous constatez que tous les clients se retrouvent sur le VLAN par défaut, quel que soit le retour de RADIUS, vérifiez que vlan-filtering=yes est configuré sur votre interface de pont. Quatrième point : incompatibilité de version CAPsMAN. Si vous utilisez un mélange de points d'accès gérés par CAPsMAN version 2 et version 3, le comportement de marquage VLAN peut différer. Standardisez votre parc de points d'accès sur RouterOS 7 avec CAPsMAN version 3 avant de déployer des fonctionnalités de VLAN dynamique. Une recommandation d'architecture : faites circuler votre trafic invités, collaborateurs et gestion sur des VLAN séparés dès le premier jour, même si vous n'utilisez pas immédiatement les trois cas d'usage de Purple. Intégrer la segmentation VLAN après coup sur un réseau plat est beaucoup plus perturbateur que de l'intégrer dès le départ. [QUESTIONS-RÉPONSES RAPIDES - environ 1 minute] Puis-je utiliser le User Manager intégré de MikroTik au lieu d'un serveur RADIUS externe ? Oui, pour les petits déploiements. Le User Manager de RouterOS 7 prend en charge PEAP-MSCHAPv2 pour le sans fil 802.1X et peut renvoyer l'attribut Mikrotik-Wireless-VLANID. Pour les déploiements en production avec Purple, vous utiliserez l'infrastructure RADIUS hébergée de Purple, qui gère l'intégration du fournisseur d'identité et la gestion des sessions pour vous. Est-ce que Purple prend en charge MikroTik CAPsMAN ? Oui. Purple est indépendant du matériel. L'intégration fonctionne au niveau du RADIUS et de la redirection du hotspot, elle est donc compatible de la même manière avec les points d'accès MikroTik autonomes et les déploiements gérés par CAPsMAN. De quelle version de RouterOS ai-je besoin ? RouterOS 7.x est recommandé pour les trois cas d'utilisation présentés dans ce guide. L'attribution dynamique de VLAN via RADIUS sans fil et le gestionnaire d'utilisateurs mis à jour sont des fonctionnalités de RouterOS 7. RouterOS 6.x prend en charge le hotspot et l'authentification RADIUS de base, mais ne dispose pas de certaines capacités de VLAN sans fil. [RÉSUMÉ ET PROCHAINES ÉTAPES - environ 1 minute] En résumé : MikroTik RouterOS vous offre trois points d'intégration distincts avec Purple. La passerelle Hotspot gère la redirection du WiFi invité et l'authentification par Captive Portal. La configuration sans fil 802.1X avec RADIUS gère le WiFi sécurisé du personnel avec un accès basé sur l'identité. Et l'authentification RADIUS basée sur l'adresse MAC avec clé PSK privée gère la ségrégation du réseau multi-locataire pour les propriétés résidentielles et mixtes. Le fil conducteur de ces trois solutions est RADIUS. Configurez correctement votre client RADIUS - IP correcte, secret partagé correct, type de service correct, délai d'expiration correct - et le reste suivra. Vos prochaines étapes : connectez-vous à votre tableau de bord Purple, accédez à la configuration du site et récupérez vos identifiants RADIUS. Suivez ensuite les commandes CLI du guide écrit pour configurer votre profil de hotspot, votre profil de sécurité sans fil et vos entrées de walled garden. Testez avec un seul point d'accès avant de déployer sur l'ensemble de votre parc. Si vous déployez cette solution à grande échelle - plusieurs sites, des centaines de points d'accès - l'équipe des services professionnels de Purple peut vous accompagner dans ce déploiement. Purple est déployé sur plus de 80 000 sites actifs dans le monde, avec une disponibilité de 99,999 %, et est certifié ISO 27001, GDPR et Cyber Essentials. Merci pour votre écoute. Le guide écrit complet contenant toutes les commandes CLI, les tableaux d'attributs RADIUS et des exemples concrets est disponible dans les notes de l'émission.