DrayTek Vigor e guest WiFi: configurazione del captive portal con Purple

Benvenuto nel Briefing di Integrazione Purple. Oggi esaminiamo i router DrayTek Vigor e gli access point VigorAP, e nello specifico come integrarli con Purple WiFi. Questo briefing è rivolto a responsabili IT e architetti di rete che distribuiscono reti guest, staff e multi-tenant in ambienti PMI e del mercato medio. Iniziamo con il contesto. L'hardware DrayTek è incredibilmente popolare nei settori retail, hospitality e nelle unità abitative plurifamiliari perché offre solide funzionalità di routing, VPN e wireless a un prezzo competitivo. Quando abbini un router DrayTek Vigor a Purple, trasformi una connessione internet standard in una rete basata sull'identità. Purple conta oltre 80.000 sedi attive e gestisce 440 milioni di accessi all'anno. Noi offriamo il Captive Portal, la suite di analytics e il livello di sicurezza. DrayTek fornisce l'infrastruttura di rete edge affidabile. Entriamo nel dettaglio tecnico. Come funziona concretamente questa integrazione? Il nucleo dell'integrazione si basa sull'autenticazione RADIUS e sul reindirizzamento al Captive Portal esterno. In primo luogo, la configurazione del WiFi Guest. Configurerai il router DrayTek Vigor come gateway Hotspot Web Portal. Nell'interfaccia DrayOS, alla voce Applications e RADIUS, aggiungi l'IP del server RADIUS di Purple e la chiave condivisa. Successivamente, alla voce Hotspot Web Portal, imposta il Portal Method su External Server e incolla l'URL di accesso specifico di Purple. Il router DrayTek intercetta il traffico dei guest, lo reindirizza all'overlay cloud di Purple per l'autenticazione e quindi utilizza RADIUS per concedere l'accesso. Un passaggio fondamentale in questa fase è il Walled Garden. I guest devono poter raggiungere i server di Purple prima di essere autenticati. È necessario configurare la scheda Destination Domain nel profilo DrayTek Hotspot per consentire il traffico verso i domini di autenticazione di Purple. Se salti questo passaggio, la splash page semplicemente non si caricherà. Questo è uno degli errori più comuni durante la distribuzione iniziale. E per quanto riguarda il WiFi dello Staff? Per un accesso sicuro dello staff, non si utilizza un Captive Portal. Si utilizza l'autenticazione 802.1X, che è lo standard IEEE per il controllo dell'accesso alla rete basato su porta. Nelle impostazioni di sicurezza della LAN wireless DrayTek, seleziona WPA2 slash 802.1X e indirizzalo al server RADIUS di Purple. I dispositivi dello staff si autenticano in modo trasparente utilizzando PEAP e MS-CHAPv2. Questo elimina completamente le password condivise e consente di revocare l'accesso istantaneamente quando un dipendente lascia l'azienda. Non è necessario modificare la password per l'intera sede. Parliamo di ambienti Multi-Tenant. Pensate agli alloggi per studenti, agli spazi di coworking o alle concessioni retail. Avete bisogno della segmentazione della rete. DrayTek gestisce questo aspetto con le VLAN e le Multiple PSK, note anche come PPSK o Private Pre-Shared Key. Configurate le VLAN sul router DrayTek. Ad esempio, VLAN 10 per gli ospiti, VLAN 20 per lo staff e VLAN 30 per gli inquilini. Utilizzando la funzionalità WPA2-PPSK di DrayTek sui VigorAP, ogni inquilino riceve una passphrase univoca. Quando si connettono, l'access point associa tale passphrase al loro indirizzo MAC e li inserisce nella loro VLAN isolata. Ciò significa che un bar situato al piano terra di un hotel non può vedere la rete interna dell'hotel, anche se condividono lo stesso access point fisico. L'assegnazione dinamica della VLAN spinge questo concetto oltre. Il server RADIUS di Purple può restituire attributi RADIUS specifici quando un utente si autentica. Si tratta degli attributi Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. Il router DrayTek legge questi valori e assegna dinamicamente il client autenticato alla VLAN corretta. Questo è l'Identity-Based Networking in pratica: la rete si adatta all'identità dell'utente, non il contrario. Passiamo alle Raccomandazioni di Implementazione e agli Errori Comuni. Raccomandazione uno: utilizzate sempre un backhaul cablato per i vostri VigorAP. I sistemi di distribuzione wireless, o i ripetitori universali, non possono trasmettere i tag VLAN 802.1Q necessari per una corretta segmentazione della rete. Se desiderate una rete ospiti isolata dalla vostra LAN interna, avete bisogno che i tag VLAN rimangano intatti, e questo significa un cavo Ethernet fisico da ciascun access point al router DrayTek o a uno switch gestito. Raccomandazione due: abilitate l'AP-Assisted Mobility sui VigorAP. Questa funzione disassocia in modo intelligente i client con una scarsa potenza del segnale, costringendoli a fare roaming verso un access point più vicino. Risolve il problema del "client appiccicoso" che affligge molte distribuzioni delle PMI. In un ambiente retail, un acquirente che cammina dall'ingresso al retro del negozio dovrebbe passare senza problemi da un access point all'altro. Senza AP-Assisted Mobility, il suo dispositivo potrebbe rimanere agganciato all'access point anteriore anche quando il segnale è debole. Raccomandazione tre: pianificate lo schema di numerazione delle VLAN prima di iniziare. La modifica degli ID VLAN dopo la distribuzione richiede la riconfigurazione del router, di tutti gli access point e potenzialmente di tutti gli switch gestiti lungo il percorso. Documentate chiaramente il vostro schema. Il più grande errore comune? Dimenticare di riavviare il router DrayTek dopo aver applicato le configurazioni RADIUS e Hotspot. DrayOS richiede un riavvio per applicare queste modifiche specifiche. Se saltate questo passaggio, passerete ore a risolvere i problemi di una configurazione che in realtà è corretta ma semplicemente non è ancora attiva. Questo è documentato nella guida di supporto ufficiale di Purple per l'hardware DrayTek. Facciamo una rapida sessione di Domande e Risposte. Domanda: Posso utilizzare il server RADIUS interno del router Vigor?Risposta: È possibile per l'autenticazione locale 802.1X, ma per l'integrazione con Purple, è necessario utilizzare i server RADIUS esterni di Purple. Questo è ciò che consente la gestione centralizzata delle policy e l'analytics forniti da Purple. Domanda: DrayTek supporta lo steering VLAN dinamico tramite RADIUS? Risposta: Sì. Il server RADIUS di Purple restituisce gli attributi Tunnel-Type e Tunnel-Private-Group-ID al momento dell'autenticazione. Il router DrayTek li legge e assegna dinamicamente il client alla VLAN corretta. Domanda: Cosa succede se il dispositivo iOS di un utente utilizza un indirizzo MAC privato con PPSK? Risposta: L'autenticazione non andrà a buon fine. Il profilo PPSK si associa a uno specifico indirizzo MAC. È necessario istruire gli utenti a disattivare l'opzione Indirizzo WiFi privato per la rete specifica nelle impostazioni del proprio dispositivo iOS per garantire una connettività stabile. Domanda: Quali modelli DrayTek sono supportati con Purple? Risposta: I modelli attualmente supportati includono le serie 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Consulta la documentazione di supporto di Purple per l'elenco più recente. Per riassumere. DrayTek e Purple insieme offrono un controllo di rete di livello enterprise a prezzi da PMI. Utilizzi il Captive Portal per gli ospiti, l'autenticazione 802.1X per il personale e PPSK con VLAN per i tenant. Mappa attentamente le tue VLAN, configura i walled garden e riavvia sempre dopo aver applicato le impostazioni RADIUS. Utilizza un backhaul cablato per i tuoi punti di accesso, abilita l'AP-Assisted Mobility e pianifica la casualizzazione del MAC sui dispositivi iOS. Grazie per aver ascoltato questo briefing tecnico. Configura il tuo hardware e ci vediamo sulla piattaforma Purple.