Integrazione degli Access Point Grandstream GWN con Purple WiFi

Benvenuti alla serie di Technical Briefing di Purple. Sono il vostro ospite e oggi tratteremo un modello di implementazione sempre più diffuso nei settori dell'ospitalità, del retail e degli immobili multi-tenant: l'integrazione degli access point Grandstream GWN con la piattaforma guest WiFi di Purple. Se siete un MSP, un team IT interno o un network architect a cui è stata affidata un'installazione Grandstream GWN con la richiesta di integrare un Captive Portal personalizzato con strumenti di analytics, questa puntata fa al caso vostro. Tratteremo l'intero stack: reindirizzamento alla splash page per gli ospiti, configurazione del walled garden, WiFi sicuro per il personale tramite 802.1X e segmentazione multi-tenant utilizzando la funzione Private Pre-Shared Key di Grandstream. Entriamo nel vivo. --- Innanzitutto, un po' di contesto. La serie GWN di Grandstream è una solida gamma di access point per il mercato di fascia media. Troviamo i modelli GWN7600 e GWN7630 per installazioni indoor, i modelli GWN7660 e GWN7664 per ambienti Wi-Fi 6 e il GWN7610 come opzione di montaggio a soffitto per spazi ad alta densità. Vengono gestiti tramite GWN Manager, un controller on-premise da installare su server Linux o Windows, oppure tramite GWN dot Cloud, la piattaforma di gestione ospitata in cloud di Grandstream, ora rinominata GDMS Networking. La buona notizia per gli MSP è che entrambe le piattaforme di gestione supportano nativamente la configurazione del Captive Portal. È possibile creare la policy del portale, personalizzare la splash page e associarla a un SSID interamente all'interno di GWN Manager o GWN dot Cloud. Tuttavia, per le installazioni enterprise che richiedono un'acquisizione dei dati conforme al GDPR, l'automazione del marketing e strumenti di analytics in tempo reale, sostituirete il portale nativo con una piattaforma esterna. Ed è qui che entra in gioco Purple. Purple opera come un overlay cloud. Si posiziona al di sopra del vostro hardware e fornisce il Captive Portal, il livello di autenticazione RADIUS, il motore di analytics e gli strumenti di marketing. Purple supporta 80.000 sedi attive e ha gestito 440 milioni di accessi solo nel 2024, dimostrando l'affidabilità della piattaforma su larga scala. L'integrazione con Grandstream GWN segue lo stesso approccio basato su standard che Purple adotta per Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. --- Esaminiamo l'architettura tecnica. Il flusso del guest WiFi su Grandstream GWN con Purple funziona in questo modo. Un ospite si connette al vostro SSID guest. Il suo dispositivo invia una richiesta HTTP a un qualsiasi sito web. L'access point GWN intercetta la richiesta e invia un reindirizzamento HTTP 302 all'URL del portale Purple. L'ospite atterra sulla vostra splash page personalizzata, ospitata da Purple. Effettua l'autenticazione, sia essa tramite e-mail, social login, verifica via SMS o un modulo personalizzato. La piattaforma di Purple convalida l'autenticazione, registra il consenso e i dati in conformità con il GDPR e invia un messaggio di RADIUS Access-Accept all'access point GWN. L'AP concede l'accesso a Internet. L'intero flusso richiede da tre a cinque secondi dalla connessione all'accesso a Internet. Ora, i componenti chiave della configurazione sul lato Grandstream sono: la policy del captive portal, le impostazioni della splash page, il walled garden e l'associazione all'SSID. Vi guiderò attraverso ognuno di essi. --- Fase uno: configurare la policy del captive portal in GWN Manager o GWN dot Cloud. Passate a Captive Portal, poi a Policy List, e create una nuova policy. Assegnatele un nome descrittivo, ad esempio "Purple-Guest-Portal". Impostate il Tipo di Autenticazione (Authentication Type) su RADIUS Server. Vedrete quindi i campi per Indirizzo del Server RADIUS, Porta del Server RADIUS e Chiave Segreta del Server RADIUS (RADIUS Server Secret). Inserite l'indirizzo IP del server RADIUS di Purple e la porta 1812 per l'autenticazione. La vostra chiave segreta condivisa si trova nella console di amministrazione del portale Purple, nella sezione relativa alla configurazione hardware della sede. Impostate il Metodo di Autenticazione RADIUS (RADIUS Authentication Method) su PAP, che è quello utilizzato dal flusso del captive portal di Purple. Alla voce Landing Page, impostate l'opzione su Reindirizza a Pagina Esterna (Redirect to External Page) e inserite l'URL di reindirizzamento del portale Purple. Questo è l'URL a cui gli ospiti verranno indirizzati al momento della prima connessione. Anche in questo caso, l'indirizzo è reperibile nella console di amministrazione di Purple. Impostate il tempo di Scadenza (Expiration) in modo che corrisponda alla policy di sessione della vostra sede. Per un hotel, 24 ore è lo standard tipico. Per la sede di una conferenza, si può impostare la durata dell'evento. Per un ambiente retail, due o quattro ore è la scelta più comune. Abilitate la Modalità Failsafe. Questo passaggio è importante. Se l'access point GWN non riesce a raggiungere il server RADIUS di Purple, la modalità failsafe garantisce comunque l'accesso a Internet anziché bloccare tutti gli ospiti. Per la maggior parte delle installazioni in ambito hospitality e retail, un breve disservizio del server RADIUS non deve comportare la perdita di connettività per tutti gli ospiti. --- Fase due: configurare il walled garden. Il walled garden è l'elenco dei domini e degli indirizzi IP a cui gli ospiti possono accedere prima di essersi autenticati tramite il portale. Se sbagliate questa configurazione, gli ospiti vedranno una pagina vuota o un portale non funzionante, e daranno la colpa al WiFi. In GWN Manager, il walled garden si configura all'interno della policy del captive portal come Regole di Pre-Autenticazione (Pre-Authentication Rules). Aggiungete i seguenti domini come regole di consenso (allow rules): il dominio del portale Purple, ovvero portal dot purple dot ai; qualsiasi dominio CDN da cui la splash page di Purple carica risorse, incluso cloudfront dot net utilizzando un carattere jolly (wildcard); l'endpoint di rilevamento del captive portal di Apple, captive dot apple dot com; e l'endpoint di controllo della connettività di Google, connectivitycheck dot gstatic dot com. Il portale di supporto di Purple dispone di un generatore dinamico di walled garden all'indirizzo support dot purple dot ai. Selezionate Grandstream dall'elenco dell'hardware, scegliete i vostri metodi di autenticazione e verrà generato l'elenco esatto dei domini necessari. Utilizzate quell'elenco. Non provate a crearlo manualmente da zero. Una decisione da prendere: includere o meno captive.apple.com nel walled garden? Se lo includi, i dispositivi iOS non mostreranno automaticamente il mini-browser Captive Network Assistant. Gli ospiti dovranno aprire manualmente un browser per raggiungere il Captive Portal. Se lo escludi, iOS avvia automaticamente il mini-browser quando il dispositivo si connette. Per la maggior parte delle installazioni nel settore hospitality, si desidera che il mini-browser appaia, quindi lascia captive.apple.com fuori dal walled garden. --- Fase tre: configurare l'SSID. In GWN Manager, naviga su SSID e modifica il tuo SSID ospite. Abilita il Captive Portal e seleziona la policy appena creata. Imposta l'SSID su WPA2-Personal con una password semplice e aperta, oppure configuralo come SSID aperto se la tua struttura preferisce questo approccio. La sicurezza in questo flusso deriva dall'autenticazione del portale, non dalla password del WiFi. Abilita il Client Isolation. Questo impedisce agli ospiti di vedere i dispositivi degli altri sulla rete. È un requisito di sicurezza fondamentale e una considerazione PCI DSS se la struttura elabora pagamenti con carta sulla stessa infrastruttura. Assegna l'SSID alla VLAN dei tuoi ospiti. La VLAN 10 è una convenzione comune per il traffico ospiti. Assicurati che lo switch e il router a monte siano configurati per instradare quella VLAN verso Internet con le regole firewall appropriate. --- Ora parliamo del WiFi per il personale che utilizza 802.1X. IEEE 802.1X è lo standard per il controllo dell'accesso alla rete basato su porta. Per il WiFi del personale, sostituisce la chiave pre-condivisa (PSK) con credenziali per singolo utente, convalidate tramite un provider di identità. Quando un membro del personale si connette, l'access point GWN funge da autenticatore, il suo dispositivo è il supplicant e il server RADIUS di Purple funge da server di autenticazione. In GWN Manager, crea un SSID separato per il personale. Imposta la modalità di sicurezza su WPA2-Enterprise, che abilita l'802.1X. Configura le impostazioni del server RADIUS con l'IP RADIUS di Purple, la porta 1812 e il tuo shared secret. Abilita il RADIUS Accounting sulla porta 1813 per ottenere un registro di controllo completo di chi si è connesso, quando e per quanto tempo. Questo registro di controllo è ciò di cui hai bisogno per la conformità al GDPR e per rispondere a eventuali incidenti di sicurezza. Per il metodo EAP, hai due opzioni principali. EAP-TLS utilizza certificati digitali sia sul server che sul dispositivo client. È l'opzione più sicura, ma richiede una piattaforma di Mobile Device Management (MDM) per distribuire i certificati sui dispositivi del personale. Se utilizzi Microsoft Intune o Jamf, EAP-TLS è la scelta giusta. PEAP (Protected EAP) utilizza un nome utente e una password all'interno di un tunnel TLS crittografato. È più facile da implementare, in particolare per gli ambienti BYOD, ma devi assicurarti che il personale sia addestrato a non accettare gli avvisi sui certificati. Un access point non autorizzato può intercettare le credenziali PEAP se gli utenti ignorano gli errori dei certificati facendo clic. Abilita l'assegnazione Dynamic VLAN nelle impostazioni dell'SSID. Quando questa opzione è attiva, il server RADIUS può restituire un ID VLAN nel pacchetto Access-Accept e l'AP GWN inserirà il dispositivo di connessione in quella VLAN. Ciò significa che puoi avere un unico SSID per il personale ma segmentare automaticamente il personale IT sulla VLAN 20, la direzione sulla VLAN 21 e i dispositivi dei punti vendita sulla VLAN 40, il tutto in base all'identità dell'utente nella directory di Purple. I parametri RADIUS per la VLAN dinamica sono: Tunnel-Type impostato su VLAN, che corrisponde al valore dell'attributo 13; Tunnel-Medium-Type impostato su IEEE-802, che corrisponde al valore dell'attributo 6; e Tunnel-Private-Group-ID impostato sul numero della VLAN come stringa. Questi tre attributi nel pacchetto Access-Accept sono tutto ciò di cui l'AP GWN ha bisogno per indirizzare il dispositivo alla VLAN corretta. --- Passiamo ora alla funzionalità particolarmente rilevante per le proprietà multi-tenant: le chiavi precondivise private di Grandstream, o PPSK (Private Pre-Shared Keys). PPSK è un meccanismo che consente a un singolo SSID di supportare più password univoche, ciascuna mappata su una VLAN o una policy di rete diversa. Pensa a un condominio build-to-rent, a uno spazio di co-working o a un edificio per uffici arredati. Desideri che un solo SSID sia visibile a tutti, ma ogni tenant riceve la propria password che lo inserisce nel proprio segmento di rete isolato. In GWN Manager, PPSK si configura nelle impostazioni dell'SSID. Imposta la Modalità di sicurezza su WPA2-Personal, quindi abilita PPSK. È quindi possibile creare singole voci PSK, ciascuna con una password univoca e un ID VLAN associato. Quando un dispositivo si connette utilizzando la password del Tenant A, l'AP lo inserisce nella VLAN 31. Quando un dispositivo utilizza la password del Tenant B, atterra sulla VLAN 32. I tenant condividono lo stesso SSID ma sono completamente isolati l'uno dall'altro a livello di rete. Per implementazioni più grandi, Grandstream supporta anche PPSK con backend RADIUS. In questa modalità, l'AP invia la PSK come attributo RADIUS al server di autenticazione, che la convalida e restituisce l'assegnazione VLAN appropriata. È qui che la funzionalità Identity-Based Networks di Purple si integra direttamente. Purple può gestire il database PPSK, convalidare le chiavi rispetto alla sua directory e restituire assegnazioni VLAN dinamiche, offrendoti la gestione centralizzata di centinaia di credenziali di tenant da un'unica piattaforma. L'attributo RADIUS utilizzato per la convalida PPSK è in genere l'attributo Tunnel-Password, o un attributo specifico del fornitore a seconda della versione del firmware. Controlla le note di rilascio di Grandstream per il tuo firmware specifico, poiché la mappatura degli attributi si è evoluta tra le versioni di GWN Manager. --- Permettetemi di coprire i due scenari di errore più comuni che riscontro nelle implementazioni Grandstream con portali esterni. Il primo problema riguarda la mancata attivazione del reindirizzamento. Un ospite si connette all'SSID, apre un browser e riceve l'errore "impossibile raggiungere il sito" anziché la pagina del portale. La causa più probabile è un'errata configurazione del walled garden. La pagina stessa del portale viene bloccata prima dell'autenticazione. Apri gli strumenti di sviluppo del browser su un dispositivo di test connesso all'SSID ospite, controlla la scheda di rete e identifica quali richieste stanno fallendo. Aggiungi questi domini alle tue regole di pre-autenticazione. La seconda modalità di errore è il timeout RADIUS. L'AP invia un'Access-Request al server RADIUS di Purple e non riceve alcuna risposta. Questo di solito significa che un firewall sta bloccando la porta UDP 1812 in uscita dalla VLAN di gestione dell'AP verso l'intervallo IP RADIUS di Purple. Controlla le regole del tuo firewall. Gli indirizzi IP RADIUS di Purple sono documentati nella console di amministrazione di Purple sotto le impostazioni della sede. Assicurati che siano consentiti sia l'IP RADIUS primario che quello secondario. Un terzo aspetto che vale la pena menzionare: la VLAN dinamica non funziona. Il personale si connette e finisce sulla VLAN errata. La causa più comune è che l'opzione "Abilita VLAN dinamica" non è selezionata nelle impostazioni dell'SSID all'interno di GWN Manager. È una singola casella di controllo facile da ignorare. La seconda causa è una mancata corrispondenza del shared secret. Se il shared secret sull'AP non corrisponde a quello configurato in Purple, l'AP scarta silenziosamente la risposta RADIUS e torna alla VLAN predefinita. --- Permettimi di presentarti due scenari reali per rendere il tutto più concreto. Scenario uno: un hotel da 120 camere. L'hotel utilizza access point GWN7660 gestiti tramite GWN dot Cloud. Hanno bisogno di un Captive Portal personalizzato con il proprio brand per gli ospiti, di una rete aziendale sicura per la reception e il servizio di pulizia, e di una VLAN di gestione separata per il sistema di gestione della struttura (PMS). La configurazione utilizza tre SSID: Guest WiFi sulla VLAN 10 con la policy del Captive Portal di Purple; Staff WiFi sulla VLAN 20 con autenticazione WPA2-Enterprise e PEAP tramite il RADIUS di Purple; e un SSID di gestione nascosto sulla VLAN 30 per i terminali PMS. L'assegnazione dinamica della VLAN sull'SSID del personale consente ai dispositivi del servizio di pulizia di accedere alla VLAN 21 con accesso a internet limitato, mentre i dispositivi della reception accedono alla VLAN 20 con accesso completo. La dashboard di analisi di Purple mostra al gestore dell'hotel il numero giornaliero di ospiti, la durata delle sessioni e i tassi di opt-in per il marketing, fornendo al team marketing i dati necessari per eseguire campagne mirate. Scenario due: un condominio build-to-rent da 40 unità. L'operatore gestisce access point GWN7630 con GWN Manager on-premise. Ogni appartamento necessita della propria rete isolata. L'operatore utilizza PPSK con backend RADIUS. Purple gestisce 40 credenziali utente uniche, ciascuna mappata su una VLAN dedicata. I residenti si connettono al singolo SSID "BuildingConnect" utilizzando la password del proprio alloggio. Il Captive Portal di Purple gestisce il flusso iniziale di onboarding, acquisisce il consenso dei residenti e fornisce all'operatore analisi sull'occupazione e dati di engagement. Quando un residente si trasferisce, l'operatore revoca la sua credenziale PPSK nella console di amministrazione di Purple e l'accesso viene immediatamente interrotto. Non è necessario modificare la password dell'SSID o riconfigurare gli AP. --- Domande rapide. Tre domande che mi vengono poste costantemente sulle implementazioni Grandstream. Domanda uno: posso utilizzare GWN dot Cloud anziché GWN Manager per l'integrazione con Purple? Sì. La configurazione del Captive Portal in GWN dot Cloud è funzionalmente identica a quella di GWN Manager. I percorsi dei menu sono gli stessi. Le impostazioni RADIUS e del walled garden si trovano nelle stesse posizioni. GWN dot Cloud è la scelta migliore per gli MSP che gestiscono più siti, poiché offre un'unica interfaccia di gestione per tutte le installazioni. Domanda due: Purple supporta le analisi native di Grandstream insieme alle proprie? Purple sostituisce le analisi native del Captive Portal con il proprio set di dati, più dettagliato. Ottieni il conteggio delle sessioni, i tempi di permanenza, i tassi di opt-in, i dati demografici dai campi del modulo e l'integrazione con le piattaforme di marketing. Le analisi native di GWN per le prestazioni RF, lo stato di salute degli AP e il conteggio dei client rimangono disponibili in GWN Manager o GWN dot Cloud insieme alle analisi del portale di Purple. Domanda tre: quale versione del firmware è necessaria sugli AP GWN per PPSK con RADIUS? PPSK con backend RADIUS richiede il firmware GWN 1.0.19 o superiore sulla serie GWN76xx. Verifica le note di rilascio di Grandstream prima dell'installazione. L'esecuzione di un firmware non aggiornato è la causa singola più comune di comportamenti imprevisti nelle implementazioni PPSK. --- Per concludere. L'integrazione degli access point Grandstream GWN con Purple è un'operazione lineare quando si segue la sequenza corretta. Configura prima le impostazioni del server RADIUS nella policy del Captive Portal. Crea il tuo walled garden utilizzando lo strumento di generazione domini di Purple. Associa la policy al tuo SSID guest e abilita l'isolamento dei client. Per il WiFi del personale, abilita WPA2-Enterprise con assegnazione dinamica della VLAN. Per gli immobili multi-tenant, utilizza PPSK con backend RADIUS e gestisci le credenziali centralmente tramite Purple. I cinque elementi chiave da configurare correttamente: RADIUS su UDP 1812 con un secret condiviso corrispondente; il walled garden che copre tutti i domini degli asset del portale; l'isolamento dei client abilitato sull'SSID guest; la VLAN dinamica abilitata nelle impostazioni dell'SSID; e il firmware PPSK alla versione 1.0.19 o superiore. Metti a punto questi cinque aspetti e otterrai un'installazione solida e scalabile, pronta a servire la tua struttura per anni. Il team di onboarding di Purple può convalidare la tua configurazione prima del go-live, e l'uptime del 99,999% della piattaforma ti eviterà di dover spiegare i disservizi del Captive Portal agli ospiti dell'hotel alle due del mattino. Grazie per l'ascolto. Per altre guide tecniche sulle integrazioni WiFi aziendali, visita purple dot ai. Nella prossima puntata parleremo dell'assegnazione dinamica delle VLAN con Microsoft Entra ID e della funzionalità SecurePass di Purple. Alla prossima.