Guida all'integrazione di MikroTik RouterOS Captive Portal e Purple WiFi

Guida all'integrazione di MikroTik RouterOS Captive Portal e Purple WiFi - Traccia del Podcast [INTRODUZIONE - circa 1 minuto] Benvenuti. Se gestite un'infrastruttura WiFi in un hotel, una catena di vendita al dettaglio, uno stadio o un centro congressi e utilizzate MikroTik RouterOS, questo episodio fa al caso vostro. Vi guiderò passo dopo passo nell'integrazione dell'Hotspot Gateway di MikroTik con la piattaforma WiFi per ospiti di Purple, coprendo tre casi d'uso distinti: WiFi per ospiti con captive portal e walled garden, Staff WiFi sicuro tramite 802.1X e segregazione della rete multi-tenant utilizzando la funzionalità Private Pre-Shared Key di MikroTik. Questa non è una panoramica tecnica teorica. Al termine di questo episodio, avrete a disposizione i comandi CLI specifici, gli attributi RADIUS e la logica di configurazione necessari per implementare o verificare voi stessi queste configurazioni. Iniziamo. [APPROFONDIMENTO TECNICO - circa 5 minuti] Parte uno: Guest WiFi e il captive portal MikroTik. L'Hotspot Gateway di MikroTik è il motore alla base del reindirizzamento del WiFi per ospiti su RouterOS. Quando un visitatore si connette al vostro SSID ospite, l'Hotspot Gateway intercetta il suo traffico HTTP e lo reindirizza a una splash page: questo è il vostro captive portal. Purple ospita quella splash page. Il vostro router MikroTik funge da Hotspot Gateway e client RADIUS. La piattaforma di Purple funge da server RADIUS. Ecco come configurarlo. Innanzitutto, avviate la procedura guidata Hotspot Setup dal menu IP in Winbox o tramite CLI. Lo assegnerete alla vostra interfaccia rivolta agli ospiti, in genere un'interfaccia VLAN o una porta bridge. Impostate il pool di indirizzi locali, configurate i server DNS e assegnate un nome DNS all'hotspot. Questo nome DNS è ciò che gli ospiti vedono nel browser prima di autenticarsi. Una volta completata la procedura guidata, è necessario puntare il profilo dell'hotspot al server RADIUS di Purple. Nella CLI, l'operazione si presenta così: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Quindi abilitate RADIUS sul profilo dell'hotspot: /ip hotspot profile set default use-radius=yes Purple vi fornirà l'indirizzo IP RADIUS, il segreto condiviso e l'URL della splash page quando configurerete la vostra sede nella dashboard di Purple. Ora, il walled garden. Questo aspetto è fondamentale. Prima che un ospite si autentichi, il suo dispositivo deve essere in grado di raggiungere la splash page di Purple e gli eventuali provider OAuth in uso, come Google, Facebook e così via. Senza le voci del walled garden, il ciclo di reindirizzamento si interrompe e gli ospiti non possono accedere. In RouterOS, si aggiungono le voci del walled garden sotto IP, Hotspot, Walled Garden. È necessario aggiungere il dominio della splash page di Purple, i domini di accesso social e gli host CDN che distribuiscono le risorse della pagina di accesso. La documentazione di Purple elenca i domini esatti per la vostra area geografica. Aggiungeteli come voci IP o voci hostname; queste ultime sono più resilienti in caso di variazione degli indirizzi IP. I principali attributi RADIUS che Purple restituisce in caso di autenticazione riuscita includono il timeout della sessione, che controlla per quanto tempo un ospite rimane connesso prima che gli venga richiesto nuovamente l'accesso, e opzionalmente un limite di larghezza di banda utilizzando l'attributo specifico del fornitore Mikrotik-Rate-Limit. Ciò consente di applicare politiche di utilizzo corretto per sessione ospite direttamente dalla dashboard di Purple, senza modificare la configurazione del router. Parte due: Staff WiFi sicuro con 802.1X. Qui si abbandonano completamente le password condivise. Lo standard IEEE 802.1X è la norma per il controllo dell'accesso alla rete basato su porta. Su un'interfaccia wireless MikroTik, si abilita l'autenticazione WPA2-Enterprise o WPA3-Enterprise, il che significa che l'access point diventa un autenticatore: trasmette le credenziali EAP dal dispositivo del personale a un server RADIUS, che le convalida e restituisce un Access-Accept o un Access-Reject. Il prodotto Staff WiFi di Purple si integra con Microsoft Entra ID, Okta e Google Workspace come identity provider. Quando il dispositivo di un membro del personale si connette, presenta un certificato o un nome utente e una password tramite PEAP-MSCHAPv2. Il server RADIUS di Purple convalida tale credenziale rispetto al vostro identity provider in tempo reale. Sul lato MikroTik, si configura il profilo di sicurezza wireless con authentication-types impostato su wpa2-eap e si punta il client RADIUS al server di Purple con service=wireless. In CAPsMAN, il sistema di gestione centralizzata degli access point di MikroTik, si imposta questo parametro a livello di configurazione di sicurezza, in modo che si applichi in modo coerente a tutti gli access point gestiti. Il server RADIUS può restituire l'attributo Mikrotik-Wireless-VLANID per collocare il personale autenticato su una VLAN specifica. È così che si applica la segmentazione della rete: il personale amministrativo finisce sulla VLAN 10, quello operativo sulla VLAN 20 e così via, tutto da un unico SSID, tutto guidato dall'identità. Per la revoca automatica, ad esempio quando un dipendente si dimette, l'integrazione di Purple con il vostro identity provider fa sì che, disabilitando l'account in Entra ID o Okta, il tentativo successivo di riautenticazione fallisca e il dispositivo venga disconnesso. Non è richiesta alcuna modifica manuale della configurazione del router. Parte tre: WiFi Multi-Tenant con Private Pre-Shared Keys. Questo è il caso d'uso più interessante dal punto di vista architetturale. Il Private PSK, a volte chiamato PPSK o iPSK, consente di gestire un unico SSID in cui ogni tenant, residente o gruppo di dispositivi si connette con una passphrase univoca, e ciascuna passphrase è mappata su una VLAN diversa. Su MikroTik, questo funziona tramite l'autenticazione RADIUS basata su MAC sull'interfaccia wireless. Quando un dispositivo si connette, l'access point invia l'indirizzo MAC del dispositivo al server RADIUS come nome utente. Il server RADIUS (che si tratti di User Manager integrato in RouterOS 7 o di FreeRADIUS) cerca quell'indirizzo MAC e restituisce due attributi specifici del fornitore: Mikrotik-Wireless-Psk, che è la passphrase per singolo dispositivo, e Mikrotik-Wireless-VLANID, che colloca il dispositivo nella VLAN corretta. Il profilo di sicurezza wireless deve avere radius-mac-authentication impostato su yes, e il client RADIUS richiede service=wireless. In pratica, per un immobile build-to-rent con 200 appartamenti, si preregistrano gli indirizzi MAC dei dispositivi di ciascun residente nella piattaforma di Purple al momento del loro ingresso. Purple mappa ogni MAC su un PSK univoco e su una VLAN corrispondente al segmento di rete di quell'appartamento. Il residente si connette utilizzando la passphrase del proprio appartamento. I suoi dispositivi finiscono su una VLAN isolata. I dispositivi del vicino si trovano su una VLAN completamente separata. Nessuno dei due può vedere il traffico dell'altro. Per i dispositivi che non supportano lo standard 802.1X, come smart TV, console di gioco e dispositivi IoT, questo approccio rappresenta l'alternativa pratica. Il dispositivo deve solo supportare WPA2-PSK, funzionalità ormai universale. [RACCOMANDAZIONI DI IMPLEMENTAZIONE E ERRORI COMUNI - circa 2 minuti] Permettetemi di elencarvi i quattro problemi più comuni che si riscontrano in queste implementazioni. Primo: lacune nel walled garden. Se la splash page di Purple non si carica, controllate le voci del vostro walled garden. Il colpevole più comune è un dominio CDN mancante o un reindirizzamento di social login non inserito nella whitelist. Utilizzate lo strumento torch di MikroTik o il packet sniffer per osservare quali query DNS vengono bloccate prima dell'autenticazione. Secondo: discrepanze nei timeout RADIUS. Il timeout RADIUS predefinito di MikroTik è di 1.100 millisecondi. Se il server RADIUS di Purple è geograficamente distante o il percorso di rete presenta latenza, si verificheranno errori di autenticazione intermittenti. Aumentate il timeout a 3.000 millisecondi e configurate un server RADIUS di backup per garantire la resilienza. Terzo: filtraggio VLAN non abilitato sul bridge. L'assegnazione dinamica delle VLAN tramite RADIUS funziona solo se il filtraggio VLAN del bridge è abilitato. Questo è un requisito di RouterOS. Se notate che tutti i client finiscono sulla VLAN predefinita indipendentemente da ciò che restituisce il RADIUS, verificate che vlan-filtering=yes sia impostato sull'interfaccia del vostro bridge. Quarto: disallineamento della versione di CAPsMAN. Se si utilizza un mix di access point gestiti con CAPsMAN versione 2 e versione 3, il comportamento del tagging VLAN può variare. Standardizzate su RouterOS 7 con CAPsMAN versione 3 in tutto il vostro parco AP prima di implementare le funzionalità VLAN dinamiche. Una raccomandazione architetturale: gestite il traffico ospiti, personale e di gestione su VLAN separate fin dal primo giorno, anche se non utilizzate immediatamente tutti e tre i casi d'uso di Purple. Integrare la segmentazione VLAN in un secondo momento su una rete piatta è decisamente più problematico rispetto a progettarla così fin dall'inizio. [DOMANDE E RISPOSTE RAPIDE - circa 1 minuto] Posso utilizzare lo User Manager integrato di MikroTik invece di un server RADIUS esterno? Sì, per implementazioni più piccole. User Manager in RouterOS 7 supporta PEAP-MSCHAPv2 per il wireless 802.1X e può restituire l'attributo Mikrotik-Wireless-VLANID. Per le implementazioni di produzione con Purple, utilizzerete l'infrastruttura RADIUS ospitata di Purple, che gestisce l'integrazione con l'identity provider e la gestione delle sessioni al posto vostro. Purple supporta MikroTik CAPsMAN? Sì. Purple è indipendente dall'hardware. L'integrazione funziona a livello di RADIUS e di reindirizzamento dell'hotspot, quindi è compatibile sia con gli access point MikroTik standalone sia con le implementazioni gestite da CAPsMAN. Quale versione di RouterOS è necessaria? RouterOS 7.x è consigliato per tutti e tre i casi d'uso trattati in questa guida. L'assegnazione dinamica delle VLAN tramite RADIUS wireless e l'aggiornamento di User Manager sono funzionalità di RouterOS 7. RouterOS 6.x supporta l'hotspot e l'autenticazione RADIUS di base, ma manca di alcune funzionalità VLAN wireless. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Per riassumere: MikroTik RouterOS offre tre punti di integrazione distinti con Purple. L'Hotspot Gateway gestisce il reindirizzamento del WiFi per ospiti e l'autenticazione del captive portal. La configurazione wireless 802.1X con RADIUS gestisce lo Staff WiFi sicuro con accesso basato sull'identità. E l'autenticazione RADIUS basata su MAC con Private PSK gestisce la segregazione della rete multi-tenant per proprietà residenziali e a uso misto. Il filo conduttore di tutti e tre è il RADIUS. Configurate correttamente il vostro client RADIUS (IP corretto, segreto condiviso corretto, tipo di servizio corretto, timeout corretto) e il resto verrà da sé. I prossimi passi: accedete alla dashboard di Purple, andate alla configurazione della sede e recuperate le credenziali RADIUS. Quindi seguite i comandi CLI nella guida scritta per configurare il profilo dell'hotspot, il profilo di sicurezza wireless e le voci del walled garden. Effettuate un test con un singolo access point prima di estendere la configurazione a tutto il vostro parco macchine. Se state implementando questa soluzione su larga scala (più siti, centinaia di access point), il team di Professional Services di Purple può supportarvi nel rollout. Purple è attiva in oltre 80.000 sedi in tutto il mondo, con un uptime del 99,999%, ed è certificata ISO 27001, GDPR e Cyber Essentials. Grazie per l'ascolto. La guida scritta completa con tutti i comandi CLI, le tabelle degli attributi RADIUS e gli esempi pratici è collegata nelle note dell'episodio.