Grandstream GWN e WiFi per gli ospiti: configurazione del captive portal con Purple

Benvenuto nella serie Purple Technical Briefing. Sono il tuo presentatore e oggi tratteremo un modello di implementazione che sta diventando sempre più comune nei settori dell'ospitalità, del retail e delle proprietà multi-tenant: l'integrazione degli access point Grandstream GWN con la piattaforma guest WiFi di Purple. Se sei un MSP, un team IT interno o un progettista di rete a cui è stata affidata un'implementazione Grandstream GWN con la richiesta di integrare un Captive Portal personalizzato e completo di analytics, questa puntata è per te. Tratteremo l'intero stack: reindirizzamento alla pagina di benvenuto degli ospiti, configurazione del walled garden, WiFi sicuro per il personale tramite 802.1X e segmentazione multi-tenant utilizzando la funzione Private Pre-Shared Key di Grandstream. Cominciamo. --- Innanzitutto, un po' di contesto. La serie GWN di Grandstream è una solida gamma di access point per il mercato di fascia media. Troviamo i modelli GWN7600 e GWN7630 per le installazioni indoor, i modelli GWN7660 e GWN7664 per gli ambienti Wi-Fi 6 e il modello GWN7610 come opzione di montaggio a soffitto per spazi a densità più elevata. Sono gestiti tramite GWN Manager, un controller on-premise da installare su un server Linux o Windows, oppure tramite GWN dot Cloud, la piattaforma di gestione ospitata in cloud di Grandstream, ora rinominata GDMS Networking. La buona notizia per gli MSP è che entrambe le piattaforme di gestione supportano nativamente la configurazione del Captive Portal. È possibile creare la policy del portale, personalizzare la pagina di benvenuto e associarla a un SSID interamente all'interno di GWN Manager o GWN dot Cloud. Tuttavia, per le implementazioni aziendali in cui è richiesta l'acquisizione di dati conforme al GDPR, l'automazione del marketing e analytics in tempo reale, andrai a sostituire quel portale nativo con una piattaforma esterna. È qui che entra in gioco Purple. Purple opera come un overlay cloud. Si posiziona al di sopra del tuo hardware e fornisce il Captive Portal, il livello di autenticazione RADIUS, il motore di analytics e gli strumenti di marketing. Purple supporta 80.000 sedi attive e ha gestito 440 milioni di accessi solo nel 2024, dimostrando l'affidabilità della piattaforma su vasta scala. L'integrazione con Grandstream GWN segue lo stesso approccio basato su standard che Purple utilizza per Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. --- Analizziamo l'architettura tecnica. Il flusso del guest WiFi su Grandstream GWN con Purple funziona in questo modo. Un ospite si connette al tuo SSID ospiti. Il suo dispositivo invia una richiesta HTTP a un qualsiasi sito web. L'access point GWN intercetta la richiesta e invia un reindirizzamento HTTP 302 all'URL del portale Purple. L'ospite atterra sulla tua pagina di benvenuto personalizzata, ospitata da Purple. Effettua l'autenticazione tramite e-mail, social login, verifica SMS o un modulo personalizzato. La piattaforma Purple convalida l'autenticazione, registra il consenso e i dati in conformità con il GDPR, quindi invia un messaggio RADIUS Access-Accept all'access point GWN. L'AP concede l'accesso a Internet. L'intero flusso richiede da tre a cinque secondi dalla connessione all'accesso a Internet.Ora, i componenti chiave di configurazione sul lato Grandstream sono: la policy del Captive Portal, le impostazioni della splash page, il walled garden e l'associazione SSID. Vi guiderò attraverso ciascuno di essi. --- Fase uno: configurare la policy del Captive Portal in GWN Manager o GWN dot Cloud. Passare a Captive Portal, quindi a Policy List e creare una nuova policy. Assegnarle un nome descrittivo, ad esempio "Purple-Guest-Portal". Impostare Authentication Type su RADIUS Server. Verranno quindi visualizzati i campi per RADIUS Server Address, RADIUS Server Port e RADIUS Server Secret. Inserire l'indirizzo IP del server RADIUS di Purple e la porta 1812 per l'autenticazione. Il segreto condiviso proviene dalla console di amministrazione del portale Purple, nella sezione di configurazione dell'hardware della sede. Impostare RADIUS Authentication Method su PAP, che è quello utilizzato dal flusso del Captive Portal di Purple. Sotto Landing Page, impostare questo valore su Redirect to External Page e inserire l'URL di reindirizzamento del portale Purple. Questo è l'URL a cui gli ospiti verranno indirizzati al momento della prima connessione. Anche in questo caso, questo valore proviene dalla console di amministrazione di Purple. Impostare l'Expiration time in base alla policy di sessione della sede. Per un hotel, 24 ore è un valore tipico. Per una sede congressuale, è possibile impostarlo sulla durata dell'evento. Per un ambiente retail, sono comuni da due a quattro ore. Abilitare la Failsafe Mode. Questo è importante. Se l'access point GWN non riesce a raggiungere il server RADIUS di Purple, la modalità failsafe garantisce comunque l'accesso a Internet invece di bloccare tutti gli ospiti. Per la maggior parte delle implementazioni nei settori hospitality e retail, una breve interruzione del server RADIUS non dovrebbe causare la perdita di connettività per tutti gli ospiti. --- Fase due: configurare il walled garden. Il walled garden è l'elenco di domini e indirizzi IP a cui gli ospiti possono accedere prima di essersi autenticati tramite il portale. Se si commette un errore, gli ospiti visualizzeranno una pagina vuota o un portale non funzionante e ne attribuiranno la colpa al WiFi. In GWN Manager, il walled garden si configura sotto la policy del Captive Portal come Pre-Authentication Rules. Aggiungere i seguenti domini come regole di autorizzazione: il dominio del portale Purple, ovvero portal dot purple dot ai; eventuali domini CDN da cui la splash page di Purple carica le risorse, incluso cloudfront dot net utilizzando una voce wildcard; l'endpoint di rilevamento del Captive Portal di Apple, captive dot apple dot com; e l'endpoint di controllo della connettività di Google, connectivitycheck dot gstatic dot com. Il portale di supporto di Purple dispone di un generatore dinamico di walled garden all'indirizzo support dot purple dot ai. Selezionare Grandstream dall'elenco hardware, scegliere i metodi di autenticazione e verrà generato l'elenco esatto dei domini necessari. Utilizzare quell'elenco. Non cercare di crearlo manualmente da zero. Una decisione da prendere: includere o meno captive dot apple dot com nel walled garden? Se lo includi, i dispositivi iOS non mostreranno automaticamente il mini-browser Captive Network Assistant. Gli ospiti dovranno aprire manualmente un browser per raggiungere il portale. Se lo escludi, iOS attiva automaticamente il mini-browser quando il dispositivo si connette. Per la maggior parte delle implementazioni nel settore hospitality, si desidera che il mini-browser appaia, quindi lascia captive dot apple dot com fuori dal walled garden. --- Fase tre: configurare il SSID. In GWN Manager, naviga su SSID e modifica il tuo SSID ospite. Abilita il Captive Portal e seleziona la policy appena creata. Imposta l'SSID su WPA2-Personal con una password aperta semplice, oppure configuralo come SSID aperto se la tua struttura preferisce questo approccio. La sicurezza in questo flusso deriva dall'autenticazione del portale, non dalla password WiFi. Abilita l'isolamento dei client (Client Isolation). Questo impedisce agli ospiti di vedere i dispositivi degli altri sulla rete. È un requisito di sicurezza di base e una considerazione PCI-DSS se la tua struttura elabora pagamenti con carta sulla stessa infrastruttura. Assegna l'SSID alla tua VLAN ospiti. La VLAN 10 è una convenzione comune per il traffico ospiti. Assicurati che lo switch e il router a monte siano configurati per instradare quella VLAN verso Internet con le regole firewall appropriate. --- Ora parliamo del WiFi del personale (Staff WiFi) utilizzando 802.1X. Lo standard IEEE 802.1X è la norma per il controllo dell'accesso alla rete basato su porta. Per il WiFi del personale, sostituisce la chiave pre-condivisa comune con credenziali per singolo utente, convalidate tramite un provider di identità. Quando un membro del personale si connette, l'access point GWN funge da autenticatore, il suo dispositivo è il supplicant e il server RADIUS di Purple funge da server di autenticazione. In GWN Manager, crea un SSID separato per il personale. Imposta la modalità di sicurezza (Security Mode) su WPA2-Enterprise, che abilita lo standard 802.1X. Configura le impostazioni del server RADIUS con l'IP RADIUS di Purple, la porta 1812 e il tuo shared secret. Abilita RADIUS Accounting sulla porta 1813 per ottenere un audit trail completo di chi si è connesso, quando e per quanto tempo. Questo audit trail è ciò di cui hai bisogno per la conformità GDPR e per rispondere a qualsiasi incidente di sicurezza. Per il metodo EAP, hai due opzioni principali. EAP-TLS utilizza certificati digitali sia sul server che sul dispositivo client. È l'opzione più sicura, ma richiede una piattaforma di Mobile Device Management per distribuire i certificati sui dispositivi del personale. Se utilizzi Microsoft Intune o Jamf, EAP-TLS è la scelta giusta. PEAP, che sta per Protected EAP, utilizza un nome utente e una password all'interno di un tunnel TLS crittografato. È più facile da implementare, in particolare per gli ambienti BYOD, ma devi assicurarti che il personale sia addestrato a non accettare gli avvisi relativi ai certificati. Un access point non autorizzato può intercettare le credenziali PEAP se gli utenti ignorano gli errori dei certificati facendo clic. Abilita l'assegnazione Dynamic VLAN nelle impostazioni SSID. Quando questa opzione è attiva, il server RADIUS può restituire un ID VLAN nel pacchetto Access-Accept e l'AP GWN inserirà il dispositivo di connessione in quella VLAN. Ciò significa che puoi avere un singolo SSID per il personale ma segmentare automaticamente il personale IT sulla VLAN 20, la direzione sulla VLAN 21 e i dispositivi dei punti vendita sulla VLAN 40, il tutto in base all'identità dell'utente nella directory di Purple. I parametri RADIUS per la VLAN dinamica sono: Tunnel-Type impostato su VLAN, che è il valore dell'attributo 13; Tunnel-Medium-Type impostato su IEEE-802, che è il valore dell'attributo 6; e Tunnel-Private-Group-ID impostato sul numero della VLAN come stringa. Questi tre attributi nel pacchetto Access-Accept sono tutto ciò di cui l'AP GWN ha bisogno per indirizzare il dispositivo alla VLAN corretta. - Passiamo ora alla funzionalità particolarmente rilevante per le proprietà multi-tenant: le Private Pre-Shared Keys di Grandstream, o PPSK. PPSK è un meccanismo che consente a un singolo SSID di supportare più password univoche, ciascuna associata a una diversa VLAN o policy di rete. Pensa a un condominio build-to-rent, a uno spazio di co-working o a un edificio per uffici arredati. Desideri che un solo SSID sia visibile a tutti, ma ogni tenant riceve la propria password che lo inserisce nel proprio segmento di rete isolato. In GWN Manager, PPSK viene configurato nelle impostazioni SSID. Imposta la Modalità di sicurezza su WPA2-Personal, quindi abilita PPSK. Puoi quindi creare singole voci PSK, ciascuna con una password univoca e un ID VLAN associato. Quando un dispositivo si connette utilizzando la password del Tenant A, l'AP lo inserisce nella VLAN 31. Quando un dispositivo utilizza la password del Tenant B, finisce sulla VLAN 32. I tenant condividono lo stesso SSID ma sono completamente isolati l'uno dall'altro a livello di rete. Per implementazioni più grandi, Grandstream supporta anche PPSK con backend RADIUS. In questa modalità, l'AP invia la PSK come attributo RADIUS al server di autenticazione, che la convalida e restituisce l'assegnazione VLAN appropriata. È qui che la funzionalità Identity-Based Networks di Purple si integra direttamente. Purple può gestire il database PPSK, convalidare le chiavi rispetto alla sua directory e restituire assegnazioni VLAN dinamiche, offrendoti una gestione centralizzata di centinaia di credenziali tenant da un'unica piattaforma. L'attributo RADIUS utilizzato per la convalida PPSK è in genere l'attributo Tunnel-Password, o un attributo specifico del fornitore a seconda della versione del firmware. Controlla le note di rilascio di Grandstream per il tuo firmware specifico, poiché la mappatura degli attributi si è evoluta tra le versioni di GWN Manager. - Lasciami coprire le due modalità di errore più comuni che riscontro nelle implementazioni Grandstream con portali esterni. Il primo è la mancata attivazione del reindirizzamento. Un ospite si connette all'SSID, apre un browser e riceve un errore "impossibile raggiungere il sito" anziché la pagina del portale. La causa più probabile è una configurazione errata del walled garden. La pagina stessa del portale viene bloccata prima dell'autenticazione. Apri gli strumenti per sviluppatori del browser su un dispositivo di test connesso all'SSID ospite, guarda la scheda di rete e identifica quali richieste stanno fallendo. Aggiungi quei domini alle tue regole di pre-autenticazione. La seconda modalità di errore è il timeout RADIUS. L'AP invia un'Access-Request al server RADIUS di Purple e non riceve alcuna risposta. Questo di solito significa che un firewall sta bloccando la porta UDP 1812 in uscita dalla VLAN di gestione dell'AP verso l'intervallo IP RADIUS di Purple. Controlla le regole del tuo firewall. Gli indirizzi IP RADIUS di Purple sono documentati nella console di amministrazione Purple alle impostazioni della sede. Assicurati che siano consentiti sia l'IP RADIUS primario che quello secondario. Un terzo aspetto che vale la pena menzionare: la VLAN dinamica non funziona. Il personale si connette e finisce sulla VLAN sbagliata. La causa più comune è che l'opzione Abilita VLAN dinamica non è selezionata nelle impostazioni dell'SSID in GWN Manager. Si tratta di una singola casella di controllo facile da trascurare. La seconda causa è una mancata corrispondenza del segreto condiviso. Se il segreto condiviso sull'AP non corrisponde a quello configurato in Purple, l'AP scarta silenziosamente la risposta RADIUS e torna alla VLAN predefinita. - Permettetemi di presentarvi due scenari reali per rendere questo concetto concreto. Scenario uno: un hotel di 120 camere. L'hotel gestisce access point GWN7660 amministrati tramite GWN dot Cloud. Hanno bisogno di un Captive Portal personalizzato per gli ospiti, di una rete aziendale sicura per la reception e il personale delle pulizie, e di una VLAN di gestione separata per il sistema di gestione della proprietà. La configurazione utilizza tre SSID: Guest WiFi sulla VLAN 10 con la policy del Captive Portal Purple; Staff WiFi sulla VLAN 20 con autenticazione WPA2-Enterprise e PEAP verso il RADIUS di Purple; e un SSID Management nascosto sulla VLAN 30 per i terminali PMS. L'assegnazione dinamica della VLAN sull'SSID del personale fa sì che i dispositivi del personale delle pulizie finiscano sulla VLAN 21 con accesso a internet limitato, mentre i dispositivi della reception finiscano sulla VLAN 20 con accesso completo. La dashboard di analisi di Purple mostra all'operatore dell'hotel il numero giornaliero di ospiti, la durata delle sessioni e i tassi di opt-in per il marketing, fornendo al team di marketing i dati necessari per eseguire campagne mirate. Scenario due: un condominio build-to-rent da 40 unità. L'operatore gestisce access point GWN7630 con GWN Manager on-premises. Ogni appartamento ha bisogno della propria rete isolata. L'operatore utilizza PPSK con backend RADIUS. Purple gestisce 40 credenziali utente uniche, ciascuna mappata su una VLAN dedicata. I residenti si connettono al singolo SSID "BuildingConnect" utilizzando la password della propria unità. Il portale di Purple gestisce il flusso iniziale di onboarding, acquisisce il consenso dei residenti e fornisce all'operatore analisi sull'occupazione e dati di engagement. Quando un residente si trasferisce, l'operatore revoca la sua credenziale PPSK nella console di amministrazione di Purple e l'accesso viene immediatamente interrotto. Non è necessario modificare la password dell'SSID o riconfigurare gli AP. - Domande rapide. Tre domande che mi vengono poste costantemente sulle distribuzioni Grandstream. Domanda uno: posso utilizzare GWN dot Cloud anziché GWN Manager per l'integrazione con Purple? Sì. La configurazione del Captive Portal in GWN dot Cloud è funzionalmente identica a quella di GWN Manager. I percorsi dei menu sono gli stessi. Le impostazioni di RADIUS e del walled garden si trovano nelle stesse posizioni. GWN dot Cloud è la scelta migliore per gli MSP che gestiscono più siti, poiché consente di ottenere un'unica interfaccia di gestione per tutte le installazioni. Domanda due: Purple supporta le analisi native di Grandstream insieme alle proprie? Purple sostituisce le analisi native del Captive Portal con il proprio set di dati, più dettagliato. Otterrai il conteggio delle sessioni, i tempi di permanenza, i tassi di opt-in, i dati demografici dai campi del modulo e l'integrazione con le piattaforme di marketing. Le analisi native di GWN per le prestazioni RF, lo stato degli AP e il conteggio dei client rimangono disponibili in GWN Manager o GWN dot Cloud insieme alle analisi del portale di Purple. Domanda tre: quale versione del firmware è necessaria sugli AP GWN per PPSK con RADIUS? PPSK con backend RADIUS richiede il firmware GWN 1.0.19 o superiore sulla serie GWN76xx. Verifica le note di rilascio di Grandstream prima della distribuzione. L'uso di un firmware obsoleto è la causa più comune di comportamenti imprevisti nelle installazioni PPSK. - Per concludere. L'integrazione degli access point Grandstream GWN con Purple è una procedura di installazione semplice se si segue la sequenza corretta. Configura innanzitutto le impostazioni del server RADIUS nella policy del Captive Portal. Crea il tuo walled garden utilizzando lo strumento di generazione dei domini di Purple. Associa la policy al tuo SSID guest e abilita l'isolamento dei client. Per il WiFi del personale, abilita WPA2-Enterprise con assegnazione dinamica della VLAN. For proprietà multi-tenant, utilizza PPSK con backend RADIUS e gestisci le credenziali centralmente tramite Purple. Le cinque cose da fare bene: RADIUS su UDP 1812 con un shared secret corrispondente; il walled garden che copre tutti i domini delle risorse del portale; l'isolamento dei client abilitato sull'SSID guest; la VLAN dinamica abilitata nelle impostazioni dell'SSID; e il firmware PPSK alla versione 1.0.19 o superiore. Gestisci correttamente questi cinque aspetti e otterrai un'implementazione solida e scalabile che servirà la tua struttura per anni. Il team di onboarding di Purple può convalidare la tua configurazione prima del go-live, e l'uptime del 99,999% della piattaforma significa che non dovrai spiegare i disservizi del portale agli ospiti dell'hotel alle due del mattino. Grazie per l'ascolto. Per altre guide tecniche sulle integrazioni WiFi aziendali, visita purple dot ai. Nel prossimo episodio parleremo dell'assegnazione dinamica della VLAN con Microsoft Entra ID e della funzionalità SecurePass di Purple. A presto.