Intégration de WatchGuard Firebox avec Purple WiFi : Guide d'installation et de configuration

Ce guide est un manuel d'intégration étape par étape destiné aux responsables informatiques et aux architectes réseau qui déploient WatchGuard Firebox et des points d'accès avec Purple. Il couvre la redirection vers un Captive Portal externe pour le Guest WiFi, l'authentification sécurisée 802.1X pour le Staff WiFi, et la segmentation multi-tenant à l'aide des clés privées pré-partagées (PPSK) de WatchGuard avec routage VLAN dynamique, vous offrant ainsi une architecture unique et unifiée sur tous les niveaux d'accès.

📖 8 min de lecture📝 1,854 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Welcome to the integration briefing. Today we are covering the WatchGuard Firebox and Access Point integration with Purple WiFi. This is a technical playbook for IT managers, network architects, and venue operations directors who need to deploy secure, scalable wireless infrastructure. We will be looking at Guest WiFi captive portals, Secure Staff WiFi using 802.1X, and Multi-Tenant segmentation using WatchGuard Private Pre-Shared Keys, or PPSK. Let's get straight into the context.

When you are managing a complex venue, say a stadium, a large retail centre, or a multi-dwelling unit, you need precise control over who accesses the network and what they can do once connected. You also need to capture first-party data to drive marketing revenue. WatchGuard provides the unified security platform and the hardware. Purple provides the cloud overlay, the identity management, and the analytics. By integrating the two, you automate identity-based access control. You eliminate the need for separate guest and staff gateways, which reduces hardware expenditure and simplifies management. Purple currently serves over 80,000 live venues and has processed 440 million logins in 2024 alone, so the platform is built to handle the scale of any venue you are likely to be managing.

Let's move into the technical deep-dive. The architecture relies on standard RADIUS protocols and HTTP redirection. We have three main access tiers. First, Guest WiFi. This is an open SSID. The WatchGuard AP intercepts HTTP requests and redirects the user to Purple's hosted splash page. Second, Staff WiFi. This is a secure WPA3-Enterprise SSID using 802.1X. Devices authenticate directly against Purple's RADIUS servers using EAP-TLS or PEAP. Third, Multi-Tenant WiFi. This uses WatchGuard PPSK. Multiple users connect to a single SSID, but each uses a unique password. The WatchGuard AP queries Purple's RADIUS server, which then dynamically assigns a VLAN based on that specific key.

So, how do we configure the Guest WiFi captive portal? Step one is setting up the RADIUS server in WatchGuard Cloud or the Firebox Policy Manager. You point the primary RADIUS server to Purple's IP address for your region. Authentication is on port 1812, accounting on port 1813. You enter the shared secret provided by Purple, and crucially, you ensure the NAS ID matches the MAC address of the Firebox or AP. This tells Purple which venue the request is coming from.

Step two is the captive portal redirection itself. In the SSID settings, you select Third-Party Hosted Captive Portal with RADIUS Authentication. You enter the Purple splash page URL, and you enter the portal shared secret. This is a specific secret generated in the Purple Analyze dashboard, and it is used to create an HMAC digest to validate authentication requests. The HMAC-SHA1 algorithm ensures that the authentication success message from Purple is genuine and has not been tampered with in transit.

Step three, and this is where many deployments stumble, is the Walled Garden. If you do not configure this, the device cannot load the splash page. You must allow access to star dot mypurple dot com, api dot mypurple dot com, and cdn dot mypurple dot com before login. If you are using social logins like Microsoft Entra ID or Google Workspace, you need to add those identity provider domains too. Think of the Walled Garden as the pre-authentication lobby. Without it, the guest cannot even reach the front door.

Now, let's look at Multi-Tenant segmentation with WatchGuard PPSK. If you manage a retail centre with 15 shops, broadcasting 15 different SSIDs is a poor approach. It causes co-channel interference, it clutters the airspace, and it creates a management overhead. PPSK solves this elegantly. You broadcast one SSID, say Centre-Retail. You enable Private Pre-Shared Key in the WatchGuard SSID settings, which requires firmware version 2.6 or higher on your WatchGuard Access Points. In Purple, you create unique keys, one per tenant.

To isolate the traffic, you use Dynamic VLAN Assignment. In WatchGuard Cloud, you set the VLAN to Dynamic VLAN assigned by RADIUS. When a shop connects a device using their specific key, the AP sends an Access-Request to Purple's RADIUS server. Purple validates the key and sends back an Access-Accept packet with three vital IETF RADIUS attributes. Tunnel-Type, which is attribute 64, set to VLAN. Tunnel-Medium-Type, attribute 65, set to 802. And Tunnel-Private-Group-ID, attribute 81, set to the assigned VLAN ID, for example VLAN 100 for Retail Tenant A. The WatchGuard AP then places that device onto VLAN 100, completely isolated from the other tenants. This is Identity-Based Networking in practice.

Let's discuss implementation recommendations and common pitfalls. First, session timeouts. Configure strict session timeouts in both Purple and WatchGuard to force re-authentication. This keeps your analytics accurate and ensures stale sessions do not consume bandwidth. Set your RADIUS Interim-Update intervals to 10 minutes. Second, firmware. You must ensure your WatchGuard Access Points are running firmware version 2.6 or higher to support PPSK. Earlier firmware versions do not support this feature. Third, MAC randomisation. Modern devices randomise their MAC addresses by default. For your secure Staff WiFi network, educate your staff to disable this feature for that specific SSID to ensure stable 802.1X authentication. MAC randomisation can cause authentication failures and inconsistent analytics data.

What happens when things go wrong? If the captive portal fails to load, check the Walled Garden first. If the device cannot resolve DNS or reach the Purple servers, it will show a timeout error rather than the splash page. If VLAN steering fails and the client receives an IP from the wrong VLAN, check the RADIUS logs in the Purple portal. Ensure the Tunnel-Private-Group-ID attribute is formatted correctly as a string and matches a VLAN that actually exists on the switch port connected to the AP. If you see HMAC digest errors in the WatchGuard logs, your Captive Portal Shared Secret does not match between WatchGuard and Purple. It must be identical in both systems, character for character.

Time for a rapid-fire Q&A. Question: Can I use PPSK and the Captive Portal on the same SSID? Answer: No. WatchGuard does not support running Dynamic VLANs via PPSK and a Captive Portal on the same SSID simultaneously. You need one SSID for the portal and a separate SSID for PPSK. Plan your SSID architecture accordingly. Question: What happens if the RADIUS server does not return a VLAN ID for a PPSK user? Answer: In WatchGuard Cloud, you configure an Unassigned Clients fallback option. You can drop them onto an untagged VLAN or a specific isolated quarantine VLAN to ensure they do not gain access to the corporate network. Always configure this fallback to avoid accidental access.

To summarise, integrating WatchGuard Firebox with Purple gives you a unified platform for security, identity, and analytics across Guest, Staff, and Multi-Tenant networks. You use external captive portal redirection for guests, 802.1X for staff, and PPSK with dynamic VLANs for multi-tenant environments. The ROI is clear. You reduce hardware costs by consolidating gateways, you simplify management through a single cloud platform, and you drive revenue by capturing first-party data through the Purple captive portal. Your next steps are to review your current SSID architecture, ensure your WatchGuard firmware is at version 2.6 or higher, and begin configuring your RADIUS settings in the Purple portal. Thank you for listening.

Points clés à retenir

✓WatchGuard Firebox integrates with Purple via standard RADIUS (ports 1812/1813) and HTTP captive portal redirection, supporting Guest WiFi, Staff WiFi, and Multi-Tenant WiFi from a single AP fleet.
✓Guest WiFi captive portal requires a Splash Page URL, a Shared Secret (for HMAC-SHA1 validation), and Walled Garden entries for Purple's domains - missing any one of these causes the portal to fail.
✓Staff WiFi uses IEEE 802.1X (EAP-TLS or PEAP) with Purple as the RADIUS server, which can proxy authentication to Microsoft Entra ID, Okta, or Google Workspace for identity lifecycle management.
✓WatchGuard PPSK (firmware v2.6+) enables multi-tenant segmentation on a single SSID - each tenant receives a unique key, and Purple's RADIUS server returns VLAN attributes (Tunnel-Type 64, Tunnel-Medium-Type 65, Tunnel-Private-Group-ID 81) to isolate their traffic.
✓Dynamic VLAN steering and Captive Portal cannot run on the same SSID in WatchGuard - plan your SSID architecture with separate SSIDs for guest portal and PPSK multi-tenant access.
✓Always configure a quarantine fallback VLAN for unassigned PPSK clients to prevent devices that fail RADIUS validation from landing on the management VLAN.
✓Purple is ISO 27001, GDPR, CCPA, and Cyber Essentials certified, and maintains 99.999% uptime - the platform handles the compliance and availability requirements for enterprise venue deployments.

Synthèse

Le déploiement d'une infrastructure sans fil sécurisée et évolutive sur des sites complexes nécessite une intégration précise entre votre passerelle de sécurité et votre fournisseur d'identité. Ce guide détaille l'intégration de WatchGuard Firebox et des points d'accès WatchGuard avec Purple, couvrant trois niveaux d'accès distincts : la redirection vers le Captive Portal pour le Guest WiFi , le Staff WiFi sécurisé via IEEE 802.1X, et la segmentation WiFi multi-tenant via les clés privées pré-partagées (PPSK) de WatchGuard.

En combinant la plateforme de sécurité unifiée de WatchGuard avec la superposition cloud de Purple, vous automatisez le contrôle d'accès basé sur l'identité, appliquez des politiques de sécurité granulaires et capturez des données de première partie (first-party) à grande échelle. Purple est présent dans plus de 80 000 sites actifs et a traité 440 millions de connexions en 2024 (données internes de Purple). L'intégration est conçue pour être indépendante du matériel : WatchGuard figure aux côtés de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet dans la liste des matériels pris en charge par Purple. Pour une vision plus large des normes de sécurité WiFi en entreprise, consultez notre guide Enterprise WiFi Security: A Complete Guide for 2026 .

Architecture technique

L'intégration connecte le matériel WatchGuard aux services cloud de Purple à l'aide de deux mécanismes standards : RADIUS (Remote Authentication Dial-In User Service) pour l'authentification et la comptabilisation (accounting), et la redirection HTTP pour la diffusion du Captive Portal. L'architecture prend en charge trois niveaux d'accès sur une seule infrastructure physique.

Niveau d'accès	Type de SSID	Méthode d'authentification	Rôle de Purple
Guest WiFi	Ouvert	Captive Portal externe + comptabilisation RADIUS	Page de splash, capture de données, analyses
Staff WiFi	WPA3-Enterprise	802.1X (EAP-TLS ou PEAP)	Serveur RADIUS, proxy de fournisseur d'identité
Multi-Tenant WiFi	WPA2/WPA3 Personal + PPSK	PPSK validé via RADIUS	Gestion des clés, attribution dynamique de VLAN

Les trois niveaux peuvent fonctionner simultanément sur le même parc de points d'accès WatchGuard. Les modèles Wi-Fi 6 de WatchGuard (AP130, AP230W, AP330, AP332CR, AP430CR et AP432) prennent en charge le PPSK à partir de la version de firmware v2.6.

Configuration de la redirection vers le Captive Portal pour le Guest WiFi

L'intégration du Captive Portal de WatchGuard redirige les requêtes HTTP non authentifiées vers la page de splash hébergée de Purple. Il s'agit du mécanisme principal pour capturer des données de première partie et appliquer les conditions d'utilisation.

Étape 1 : Configuration du serveur RADIUS

Dans WatchGuard Cloud ou Firebox Policy Manager, définissez Purple comme serveur d'authentification et de comptabilisation RADIUS.

Serveur RADIUS principal : définissez-le sur l'adresse IP RADIUS de Purple pour votre région (disponible dans le portail Purple sous Paramètres > Intégration matérielle).
Port d'authentification : 1812
Port de comptabilisation (accounting) : 1813
Secret partagé : saisissez le secret unique fourni dans le portail Purple.
NAS ID : définissez-le sur l'adresse MAC du Firebox ou du point d'accès en utilisant le spécificateur de format %m. Cela permet d'identifier le site auprès de Purple et d'acheminer les analyses vers le bon compte.
Intervalle de comptabilisation : définissez-le sur 10 minutes pour garantir que les données de session soient transmises au tableau de bord d'analyse de Purple à intervalles réguliers.

Étape 2 : Paramètres du SSID et du Captive Portal

Dans WatchGuard Cloud, accédez à Configure > Devices > [Votre AP] > Device Configuration > SSIDs. Créez ou modifiez le SSID Guest.

Sécurité : Ouvert (pas de mot de passe de pré-authentification).
Type de Captive Portal : sélectionnez Third-Party Hosted Captive Portal with RADIUS Authentication.
URL de la page de splash : saisissez l'URL de la page de splash de Purple (par exemple, https://wifi.mypurple.com/splash). Récupérez-la depuis Purple > Analyser > Portails.
Secret partagé : saisissez le secret partagé du portail depuis cette même page Portails d'analyse de Purple. Ce secret génère le condensé HMAC-SHA1 que WatchGuard utilise pour valider la réponse de réussite d'authentification de Purple.

Étape 3 : Configuration du Walled Garden

Le Walled Garden définit les domaines auxquels un appareil peut accéder avant la fin de l'authentification. Sans cela, l'appareil ne peut pas charger la page de splash de Purple. Ajoutez les entrées suivantes à Websites that users can access before login :

*.mypurple.com
api.mypurple.com
cdn.mypurple.com
assets.mypurple.com

Si vous activez les connexions sociales ou fédérées via Microsoft Entra ID, Okta ou Google Workspace, ajoutez les domaines des fournisseurs d'identité concernés (par exemple, login.microsoftonline.com, accounts.google.com). Pour en savoir plus sur le contexte juridique et de conformité des infrastructures WiFi partagées, consultez notre guide sur les Exigences légales et de conformité pour les infrastructures WiFi partagées .

Fonctionnement du flux d'authentification HMAC

Comprendre ce flux vous aide à diagnostiquer rapidement les pannes.

L'appareil invité se connecte au SSID ouvert et effectue une requête HTTP.
Le point d'accès WatchGuard intercepte la requête et redirige le navigateur vers l'URL de la page de splash de Purple, en ajoutant un paramètre challenge (une chaîne hexadécimale aléatoire) et l'adresse MAC de l'appareil.
Purple affiche la page de splash. L'invité remplit le formulaire de connexion.
Purple génère un condensé HMAC-SHA1 à l'aide du secret partagé du portail et de la valeur de challenge.
Purple redirige le navigateur vers l'URL de connexion du point d'accès WatchGuard, en y ajoutant le challenge et le condensé.
Le point d'accès WatchGuard valide le condensé à l'aide du même secret partagé. S'il correspond, le point d'accès accorde l'accès à Internet et envoie un paquet RADIUS Accounting Start à Purple.

Staff WiFi sécurisé avec 802.1X

Pour le Staff WiFi, vous remplacez le Captive Portal par la norme IEEE 802.1X, la norme d'entreprise pour le contrôle d'accès réseau basé sur les ports. Chaque membre du personnel s'authentifie avec des identifiants uniques ou un certificat, éliméliminant le risque de mot de passe partagé.

Dans WatchGuard Cloud, configurez le SSID Staff avec la sécurité WPA3 Enterprise et pointez le Authentication Domain vers le serveur RADIUS de Purple. Purple agit en tant que serveur RADIUS et peut relayer les requêtes d'authentification vers Microsoft Entra ID, Okta ou Google Workspace via SAML ou LDAP.

Pour l'authentification basée sur des certificats (EAP-TLS), déployez des certificats clients via votre MDM sur les appareils gérés. Pour l'authentification basée sur des identifiants (PEAP-MSCHAPv2), les utilisateurs s'authentifient avec leurs identifiants d'annuaire. Purple valide la requête auprès du fournisseur d'identité configuré et renvoie un RADIUS Access-Accept ou Access-Reject à l'AP WatchGuard.

Pour un guide détaillé de la configuration 802.1X sur différents types d'appareils, consultez notre guide sur l'authentification 802.1X : sécuriser l'accès réseau sur les appareils modernes .

Note importante sur l'aléatorisation des adresses MAC : Les appareils iOS et Android modernes utilisent par défaut des adresses MAC aléatoires. Pour le WiFi Staff 802.1X, demandez au personnel de désactiver l'aléatorisation MAC pour le SSID Staff. Les adresses MAC aléatoires provoquent des journaux d'authentification incohérents et empêchent l'application des politiques basées sur les adresses MAC.

WiFi multi-locataire avec WatchGuard PPSK

La diffusion d'un SSID distinct par locataire dans un centre commercial, un espace de coworking ou un projet immobilier locatif (BTR) provoque des interférences de co-canal et encombre l'environnement RF. WatchGuard PPSK (Private Pre-Shared Key) - introduit dans le firmware AP v2.6 - résout ce problème en attribuant un mot de passe unique à chaque utilisateur ou locataire sur un seul SSID.

Étape 1 : Activer le PPSK sur le SSID

Dans WatchGuard Cloud, modifiez le SSID cible (par ex., Venue-WiFi).

Sécurité : WPA2 Personal ou WPA3 Personal.
Authentification : Activez Private Pre-Shared Key (PPSK).
Serveur RADIUS : Pointez vers le serveur RADIUS de Purple. Purple gère le stockage des identifiants PPSK et renvoie les attributs VLAN lors de l'authentification.

Étape 2 : Configurer l'attribution dynamique de VLAN

Pour isoler le trafic des locataires, l'AP WatchGuard attribue un VLAN spécifique en fonction du PPSK utilisé.

Paramètre VLAN : Sélectionnez Dynamic VLAN assigned by RADIUS.
Repli pour les clients non attribués : Sélectionnez un VLAN de quarantaine isolé (par ex., VLAN 999) pour garantir que les appareils qui échouent à la validation RADIUS ne puissent pas accéder au réseau de l'entreprise.

Prérequis pour les VLAN dynamiques sur les points d'accès WatchGuard :

Firmware AP v2.2 ou supérieur.
Le NAT doit être désactivé sur le SSID.
Les VLAN dynamiques et le Captive Portal ne peuvent pas fonctionner simultanément sur le même SSID.
Le port du commutateur connecté à l'AP doit être configuré comme un port trunk acheminant tous les VLAN concernés.

Étape 3 : Attributs RADIUS pour l'orientation VLAN

Lorsqu'un utilisateur se connecte à l'aide d'un PPSK, l'AP WatchGuard envoie une requête RADIUS Access-Request à Purple. Purple valide la clé et renvoie un paquet Access-Accept contenant trois attributs RADIUS IETF :

Attribut RADIUS	Numéro d'attribut	Valeur
Tunnel-Type	64	13 (VLAN)
Tunnel-Medium-Type	65	6 (802)
Tunnel-Private-Group-ID	81	ID de VLAN (par ex., "100")

L'AP WatchGuard lit l'attribut 81 et place le client sur le VLAN correspondant. Dans Purple, vous associez chaque identifiant PPSK à un ID de VLAN et à un rôle spécifiques. C'est le mécanisme qui sous-tend les réseaux basés sur l'identité (Identity-Based Networks) : l'identifiant détermine le segment de réseau, et non le SSID.

Bonnes pratiques de mise en œuvre

Ces recommandations s'appliquent aux déploiements dans les secteurs de l'hôtellerie , du commerce de détail , de la santé et des transports .

Délais d'expiration de session : Configurez les délais d'expiration de session dans Purple et WatchGuard pour forcer une réauthentification à intervalles réguliers. Cela permet de maintenir la précision des analyses et d'empêcher les sessions obsolètes de consommer de la bande passante. Définissez RADIUS Interim-Update (Acct-Interim-Interval) sur 600 seconds (10 minutes).

Gestion du firmware : Assurez-vous que les points d'accès WatchGuard exécutent la version v2.6 ou supérieure du firmware pour la prise en charge du PPSK. Utilisez WatchGuard Cloud pour planifier les mises à niveau du firmware en dehors des heures de pointe afin d'éviter les interruptions de couverture.

Conformité PCI DSS : Pour les environnements de vente au détail traitant des paiements par carte, isolez les terminaux de point de vente (POS) sur un VLAN dédié (par ex., VLAN 200) à l'aide du PPSK. Assurez-vous que le VLAN WiFi Invité n'a aucune route vers le VLAN POS. Cela permet de répondre aux exigences de segmentation réseau de la norme PCI DSS.

GDPR et collecte de données : Le Captive Portal de Purple utilise des options d'adhésion par choix conscient, garantissant que la collecte de données répond aux exigences du GDPR. Purple est certifié ISO 27001, GDPR, CCPA et Cyber Essentials. Assurez-vous que votre page d'accueil comprend un avis de confidentialité clair et un lien vers les conditions d'utilisation avant le début de la saisie des données.

Dépannage et atténuation des risques

Échec du chargement du Captive Portal : Le Walled Garden est le premier élément à vérifier. Si l'appareil ne peut pas résoudre le DNS ou atteindre les serveurs de Purple avant l'authentification, le navigateur affiche une erreur de délai d'attente plutôt que la page d'accueil. Vérifiez que tous les domaines Purple figurent dans la liste du Walled Garden et que les paramètres DNS de WatchGuard permettent la résolution pré-authentification.

Erreurs de validation du condensé HMAC : Si les journaux de WatchGuard affichent des échecs d'authentification avec des erreurs HMAC, le secret partagé du Captive Portal ne correspond pas entre WatchGuard et Purple. Il doit être identique dans les deux systèmes. Régénérez le secret dans Purple et saisissez-le à nouveau dans WatchGuard Cloud.

Échec de l'orientation VLAN : Si un utilisateur PPSK reçoit une IP du mauvais VLAN, vérifiez les journaux RADIUS dans le portail Purple. Vérifiez que Purple renvoie bien les trois attributs RADIUS IETF. Assurez-vous que la valeur Tunnel-Private-Group-ID est formatée sous forme de chaîne et correspond à un ID de VLAN configuré sur le port trunk du commutateur.

Conflit entre PPSK et Captive Portal : WatchGuard ne prend pas en charge les VLAN dynamiques et le Captive Portal sur le même SSID. Si vous avez besoin des deux, utilisez deux SSID : un pour le Captive Portal invité et une pour l'accès multi-tenant PPSK.

Échecs d'authentification 802.1X : Utilisez l'outil de capture de paquets disponible dans le firmware WatchGuard AP v2.5 et versions ultérieures pour capturer le trafic entre l'AP et le serveur RADIUS. Recherchez les paquets RADIUS Access-Reject et le code de motif dans l'attribut du message de réponse.

ROI et impact commercial

L'intégration de WatchGuard et Purple consolide la sécurité et les analyses au sein d'une architecture unique. Un hôtel de 200 chambres utilisant cette intégration élimine le besoin de passerelles distinctes pour les invités et le personnel, réduisant ainsi les dépenses matérielles d'environ 30 % par rapport à un déploiement multi-passerelle (données internes de Purple). Le Captive Portal Guest WiFi capture des données de première main (adresses e-mail, informations démographiques et fréquence des visites) qui génèrent des revenus de marketing direct via le forfait Engage de Purple.

Pour les sites multi-tenants, le PPSK élimine la surcharge opérationnelle liée à la gestion de plusieurs SSIDs. Un centre commercial gérant 15 boutiques sur un seul SSID réduit l'utilisation de la radio AP et simplifie les audits réseau. WiFi Analytics de Purple fournit aux exploitants de sites des données sur le temps de séjour, la fréquentation et les visites répétées — des indicateurs qui justifient l'investissement d'infrastructure auprès des équipes financières.

Purple maintient un taux de disponibilité de 99,999 % (données internes de Purple), garantissant que le Captive Portal Guest WiFi reste disponible même pendant les périodes de pointe dans les lieux à forte densité comme les stades et les centres de conférence.

Définitions clés

PPSK (Private Pre-Shared Key)

A security feature that assigns a unique password to each user or device on a WPA2/WPA3 Personal SSID. Introduced in WatchGuard AP firmware v2.6.

Used in multi-tenant environments - retail centres, coworking spaces, BTR developments - to segment users without requiring 802.1X supplicant configuration on client devices.

Dynamic VLAN steering

The process of assigning a network device to a specific Virtual LAN based on RADIUS attributes (Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID) returned during authentication.

The mechanism that isolates tenant, staff, and guest traffic on the same physical access point. Requires AP firmware v2.2 or higher on WatchGuard hardware.

Walled Garden

A list of IP addresses or domains that an unauthenticated user is permitted to access before completing captive portal authentication.

Required to allow guest devices to load the Purple splash page and complete federated logins (Microsoft Entra ID, Google Workspace) before full internet access is granted.

HMAC digest

A cryptographic hash (HMAC-SHA1) used to verify the integrity and authenticity of the authentication success message from the captive portal.

WatchGuard validates the HMAC digest using the Captive Portal Shared Secret. A mismatch between the secret in WatchGuard and Purple causes authentication failures.

RADIUS accounting

The component of the RADIUS protocol that tracks network usage, including session start, session duration, and data transfer volume.

Purple relies on RADIUS Accounting packets from the WatchGuard Firebox to populate the analytics dashboard and enforce session time limits. Operates on port 1813.

Captive portal

A web page that a device is redirected to before being granted access to a public network. WatchGuard intercepts HTTP requests and redirects to the configured external portal URL.

The primary mechanism for capturing first-party data and enforcing terms of service on Guest WiFi networks. Purple hosts the splash page and manages the data.

802.1X

An IEEE standard for port-based network access control. Requires each device to authenticate with unique credentials or a certificate before network access is granted.

The enterprise standard for securing Staff WiFi. Eliminates the shared-password risk of WPA2 Personal. Requires a RADIUS server (Purple) and a supplicant on the client device.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

A highly secure 802.1X authentication method requiring both a client certificate and a server certificate for mutual authentication.

Used in high-security environments where devices are managed by an MDM. Ensures only corporate-owned devices with valid certificates can connect to the Staff WiFi SSID.

NAS ID (Network Access Server Identifier)

A string sent in RADIUS packets that identifies the network device (AP or Firebox) making the authentication request.

Purple uses the NAS ID to identify which venue a RADIUS request originates from. Typically set to the AP MAC address using the %m format specifier in WatchGuard.

Identity-Based Networking

A network architecture where access policies, VLAN assignments, and security controls are determined by the user's identity rather than their physical port or SSID.

The combination of WatchGuard PPSK, Purple RADIUS, and dynamic VLAN steering delivers Identity-Based Networking - the credential determines the network segment automatically.

Exemples concrets

A 200-room Premier Inn property needs to provide Guest WiFi for guests, secure Staff WiFi for front-of-house and back-office teams, and a separate network for IoT devices (smart TVs, door locks). They have WatchGuard AP330 access points managed via WatchGuard Cloud and a Firebox T85 gateway. How should they architect the three networks?

Deploy three SSIDs on the WatchGuard AP330 fleet. SSID 1: 'Premier-Guest' - open SSID with external captive portal redirection to Purple. Configure the Firebox T85 as the RADIUS client pointing to Purple's servers (port 1812/1813). Add Purple's Walled Garden domains. Guests authenticate via the Purple splash page using email, social login, or a room code. SSID 2: 'Premier-Staff' - WPA3-Enterprise SSID with 802.1X authentication. Point the authentication domain to Purple's RADIUS server, which proxies credentials to the property's Microsoft Entra ID tenant. Staff authenticate with their corporate credentials. SSID 3: 'Premier-IoT' - WPA2 Personal SSID with a static PSK, placed on a dedicated VLAN (e.g., VLAN 50) with firewall rules blocking access to the staff and guest VLANs. The Firebox T85 enforces inter-VLAN routing policies. All three SSIDs broadcast on the same AP hardware, reducing infrastructure cost.

Commentaire de l'examinateur : This architecture follows the principle of least privilege. Each access tier has the minimum network access required for its function. The IoT SSID uses a static PSK rather than PPSK because IoT devices typically cannot handle dynamic credential rotation. The key decision is using Purple as the RADIUS server for both guest and staff tiers, which centralises identity management and analytics in a single platform.

A retail centre managing 12 shop units wants to provide each tenant with isolated WiFi access using a single SSID. The centre also needs to ensure that a compromised tenant credential does not expose other tenants' traffic. They are running WatchGuard AP230W access points on firmware v2.6.

Configure one SSID: 'Centre-Retail' with WPA2 Personal and PPSK enabled. In Purple, create 12 unique PPSK credentials, one per tenant. Map each credential to a dedicated VLAN (e.g., VLAN 101 for Tenant 1, VLAN 102 for Tenant 2, and so on). In WatchGuard Cloud, set the SSID VLAN to 'Dynamic VLAN assigned by RADIUS' with a fallback to a quarantine VLAN (VLAN 999). Configure the switch ports connected to the AP230W as trunk ports carrying VLANs 101-112 and 999. When a tenant device connects using their PPSK, the AP queries Purple RADIUS, receives the Tunnel-Private-Group-ID attribute, and places the device on the correct VLAN. A compromised credential for Tenant 3 only exposes VLAN 103 - all other tenants remain isolated.

Commentaire de l'examinateur : PPSK provides per-credential isolation without the complexity of 802.1X certificate management. The critical design decision is the fallback VLAN. Without a quarantine VLAN configured, a device that fails RADIUS validation could be placed on the default untagged VLAN, potentially gaining access to management infrastructure. Always configure the fallback explicitly.

Questions d'entraînement

Q1. A hotel IT manager reports that guests connect to the WiFi but the Purple splash page never appears. The browser shows a connection timeout error. The WatchGuard Cloud configuration shows the correct Purple splash page URL and shared secret. What is the most likely cause and how do you resolve it?

Conseil : Consider what must happen before the device is authenticated. What domains does the device need to reach to load the splash page?

Voir la réponse type

The Walled Garden is missing or incomplete. The WatchGuard Firebox is blocking the device's initial HTTP request to Purple's servers before authentication completes. Add the required Purple domains to the 'Websites that users can access before login' list: *.mypurple.com, api.mypurple.com, and cdn.mypurple.com. If guests are using social logins, also add the relevant identity provider domains (e.g., login.microsoftonline.com for Entra ID).

Q2. You are configuring PPSK-based VLAN steering for a coworking space with 8 members. RADIUS authentication succeeds (the WatchGuard logs show Access-Accept), but every member device receives an IP address from VLAN 1 (the default management VLAN) instead of their assigned tenant VLAN. How do you diagnose and resolve this?

Conseil : Authentication succeeded, so the credential is valid. The issue is in the VLAN assignment step. What does WatchGuard need from the RADIUS server to assign a VLAN?

Voir la réponse type

The RADIUS Access-Accept packet from Purple is missing or incorrectly formatting the VLAN attributes. Capture the RADIUS traffic on the AP using the WatchGuard packet capture tool and inspect the Access-Accept packet. Verify that Purple is returning all three IETF attributes: Tunnel-Type (attribute 64, value 13), Tunnel-Medium-Type (attribute 65, value 6), and Tunnel-Private-Group-ID (attribute 81, set to the VLAN ID as a string, e.g. '101'). Also confirm that the switch port connected to the AP is configured as a trunk port carrying the relevant VLANs, and that the SSID VLAN setting in WatchGuard Cloud is set to 'Dynamic VLAN assigned by RADIUS' rather than a static VLAN ID.

Q3. A venue operator wants to run a Guest WiFi captive portal (Purple splash page) and a multi-tenant PPSK network for 6 retail units on the same WatchGuard AP330 access point. They plan to configure both features on a single SSID to simplify the RF environment. Is this possible? If not, what is the correct architecture?

Conseil : Review the WatchGuard Dynamic VLAN requirements. Are there any feature conflicts?

Voir la réponse type

This is not possible on a single SSID. WatchGuard does not support Dynamic VLANs (required for PPSK) and Captive Portal on the same SSID simultaneously. The correct architecture uses two SSIDs: SSID 1 ('Venue-Guest') configured as an open SSID with external captive portal redirection to Purple for public guests. SSID 2 ('Venue-Retail') configured with WPA2 Personal, PPSK enabled, and Dynamic VLAN assignment for the 6 retail tenants. Both SSIDs broadcast from the same AP330 hardware, so the RF impact is limited to one additional SSID beacon. The switch port connected to the AP must be a trunk port carrying all relevant VLANs for both SSIDs.

Continuer la lecture de cette série

Intégration d'Alta Labs avec Purple WiFi : Configuration et paramétrage du Captive Portal

Ce guide de référence technique couvre l'intégration de bout en bout des points d'accès Alta Labs AP6 et AP6 Pro avec le Captive Portal hébergé dans le cloud de Purple. Il détaille la configuration de la redirection externe, l'authentification RADIUS, les exigences de walled garden et la segmentation multi-tenant à l'aide des clés pré-partagées privées (PPSK) AltaPass. Les exploitants de sites et les équipes informatiques disposeront d'un guide de déploiement reproductible pour les environnements de l'hôtellerie, du commerce de détail et des bureaux intelligents.

Intégration d'Alcatel-Lucent Enterprise (ALE) OmniAccess avec Purple WiFi

Ce guide détaille l'intégration technique entre les points d'accès Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar et Purple WiFi. Il couvre la redirection vers le Captive Portal, l'authentification RADIUS, la configuration du Walled Garden, le WiFi sécurisé pour le personnel via 802.1X, et la segmentation WiFi multi-locataire à l'aide de clés privées pré-partagées (PPSK) avec routage VLAN dynamique - offrant aux responsables informatiques et aux architectes réseau une référence complète et exploitable pour déployer des réseaux basés sur l'identité sur le matériel ALE.

Aruba ClearPass et Purple WiFi : Guide d'intégration et de déploiement

Ce guide fournit une référence technique complète pour l'intégration de HPE Aruba ClearPass Policy Manager avec la plateforme Purple WiFi, couvrant l'architecture de proxy RADIUS, la configuration du Captive Portal et le mappage dynamique des rôles VLAN. Il est conçu pour les responsables informatiques et les architectes réseau dans des environnements fortement basés sur Aruba qui ont besoin de conserver ClearPass pour le NAC tout en déployant Purple pour l'authentification des invités et l'analyse. La mise en œuvre de cette intégration comble une lacune critique entre les fournisseurs, permettant une sécurité et une conformité de niveau entreprise, parallèlement aux capacités d'intelligence des visiteurs de Purple, leader sur le marché.