Mikrotik RouterOS e guest WiFi: configurazione del captive portal con Purple

Guida all'integrazione di MikroTik RouterOS Captive Portal con Purple WiFi - Script del Podcast [INTRO - circa 1 minuto] Benvenuti. Se gestite un'infrastruttura WiFi in un hotel, una catena di negozi, uno stadio o un centro congressi e utilizzate MikroTik RouterOS, questo episodio è per voi. Vi guiderò esattamente su come integrare l'Hotspot Gateway di MikroTik con la piattaforma WiFi per ospiti di Purple, coprendo tre diversi casi d'uso: il WiFi per gli ospiti con un Captive Portal e un walled garden, il WiFi sicuro per il personale tramite 802.1X e la segregazione di rete multi-tenant tramite la funzionalità Private Pre-Shared Key di MikroTik. Questa non è una panoramica teorica. Al termine di questo episodio, disporrete dei comandi CLI specifici, degli attributi RADIUS e della logica di configurazione necessari per implementare o verificare autonomamente queste configurazioni. Iniziamo. [APPROFONDIMENTO TECNICO - circa 5 minuti] Parte uno: WiFi per ospiti e Captive Portal di MikroTik. L'Hotspot Gateway di MikroTik è il motore che gestisce il reindirizzamento del WiFi per ospiti su RouterOS. Quando un visitatore si connette al vostro SSID per gli ospiti, l'Hotspot Gateway intercetta il suo traffico HTTP e lo reindirizza a una splash page - ovvero il vostro Captive Portal. Purple ospita tale splash page. Il vostro router MikroTik funge da Hotspot Gateway e client RADIUS. La piattaforma di Purple funge da server RADIUS. Ecco come configurarlo. Innanzitutto, avviate la procedura guidata Hotspot Setup dal menu IP in Winbox o tramite CLI. Lo assegnerete alla vostra interfaccia rivolta agli ospiti - solitamente un'interfaccia VLAN o una porta bridge. Impostate il vostro pool di indirizzi locali, configurate i server DNS e assegnate un nome DNS all'hotspot. Questo nome DNS è ciò che gli ospiti vedono nel loro browser prima di autenticarsi. Una volta completata la procedura guidata, è necessario puntare il profilo dell'hotspot al server RADIUS di Purple. Nella CLI, il comando è il seguente: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Quindi abilitate RADIUS sul profilo dell'hotspot: /ip hotspot profile set default use-radius=yes Purple vi fornirà l'indirizzo IP del server RADIUS, il secret condiviso e l'URL della splash page quando configurerete la vostra sede nella dashboard di Purple. Ora, il walled garden. Questo passaggio è fondamentale. Prima che un ospite si autentichi, il suo dispositivo deve essere in grado di raggiungere la splash page di Purple e tutti i provider OAuth utilizzati - Google, Facebook e così via. Senza le voci del walled garden, il ciclo di reindirizzamento si interrompe e gli ospiti non possono effettuare l'accesso. In RouterOS, le voci del walled garden si aggiungono sotto IP, Hotspot, Walled Garden. È necessario aggiungere il dominio della splash page di Purple, i domini per i social login e gli host CDN che distribuiscono le risorse della pagina di login. La documentazione di Purple elenca i domini esatti per la vostra area geografica. Aggiungeteli come voci IP o come voci hostname - le voci hostname sono più resilienti quando gli indirizzi IP cambiano. I principali attributi RADIUS che Purple restituisce a seguito di un'autenticazione riuscita includono il timeout di sessione, che controlla la durata della connessione di un ospite prima che gli venga richiesto un nuovo accesso, e opzionalmente un limite di larghezza di banda utilizzando l'attributo specifico del fornitore Mikrotik-Rate-Limit. Questo ti consente di applicare policy di utilizzo corretto per singola sessione ospite direttamente dalla dashboard di Purple senza toccare la configurazione del router. Parte due: WiFi aziendale sicuro con 802.1X. In questa fase si abbandonano completamente le password condivise. Lo standard IEEE 802.1X è il riferimento per il controllo dell'accesso alla rete basato su porte. Su un'interfaccia wireless MikroTik, abilita l'autenticazione WPA2-Enterprise o WPA3-Enterprise; questo significa che l'access point diventa un autenticatore, passando le credenziali EAP dal dispositivo del dipendente a un server RADIUS, che le convalida e restituisce un messaggio di Access-Accept o Access-Reject. Il prodotto Staff WiFi di Purple si integra con Microsoft Entra ID, Okta e Google Workspace come provider di identità. Quando il dispositivo di un dipendente si connette, presenta un certificato o un nome utente e una password tramite PEAP-MSCHAPv2. Il server RADIUS di Purple convalida tali credenziali con il tuo provider di identità in tempo reale. Sul lato MikroTik, configura il profilo di sicurezza wireless con authentication-types impostato su wpa2-eap e indirizza il client RADIUS al server di Purple con service=wireless. In CAPsMAN - il sistema di gestione centralizzata degli access point di MikroTik - configuri questa opzione a livello di configurazione di sicurezza in modo che venga applicata in modo coerente su tutti gli access point gestiti. Il server RADIUS può restituire l'attributo Mikrotik-Wireless-VLANID per inserire il personale autenticato su una VLAN specifica. Questo è il modo in cui applichi la segmentazione della rete - il personale amministrativo finisce sulla VLAN 10, le operazioni sulla VLAN 20 e così via - il tutto da un unico SSID, guidato interamente dall'identità. Per la revoca automatica - quando un dipendente lascia l'azienda - l'integrazione di Purple con il tuo provider di identità garantisce che, disabilitando l'account in Entra ID o Okta, il successivo tentativo di riautenticazione fallisca e il dispositivo venga disconnesso. Non è richiesta alcuna modifica manuale della configurazione del router. Parte terza: WiFi multi-tenant con Private Pre-Shared Keys. Questa è la soluzione più interessante dal punto di vista dell'architettura. La tecnologia Private PSK - talvolta chiamata PPSK o iPSK - consente di gestire un singolo SSID in cui ogni tenant, residente o gruppo di dispositivi si connette con una password univoca e ogni password è mappata su una VLAN diversa. Su MikroTik, questo avviene tramite l'autenticazione RADIUS basata su MAC sull'interfaccia wireless. Quando un dispositivo si connette, l'access point invia l'indirizzo MAC del dispositivo al server RADIUS come nome utente. Il server RADIUS - che sia lo User Manager proprietario di MikroTik in RouterOS 7 o FreeRADIUS - cerca quell'indirizzo MAC e restituisce due attributi specifici del fornitore: Mikrotik-Wireless-Psk, che rappresenta la password per singolo dispositivo, e Mikrotik-Wireless-VLANID, che inserisce il dispositivo nella VLAN corretta. Il profilo di sicurezza wireless richiede che radius-mac-authentication sia impostato su yes, e il client RADIUS richiede service=wireless. In pratica, per una proprietà build-to-rent con 200 appartamenti, registreresti preventivamente gli indirizzi MAC del dispositivo di ciascun residente nella piattaforma di Purple al momento del loro trasferimento. Purple mappa ciascun MAC a una PSK univoca e a una VLAN corrispondente al segmento di rete di quell'appartamento. Il residente si connette utilizzando la passphrase del proprio appartamento. I loro dispositivi finiscono su una VLAN isolata. I dispositivi dei vicini si trovano su una VLAN completamente separata. Nessuno dei due può vedere il traffico dell'altro. Per i dispositivi che non supportano lo standard 802.1X - smart TV, console di gioco, dispositivi IoT - questo approccio rappresenta l'alternativa pratica. Il dispositivo deve solo supportare WPA2-PSK, cosa che fanno tutti. [CONSIGLI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti] Permettetemi di indicarvi le quattro cose che più comunemente vanno storte in queste implementazioni. Primo: lacune nel walled garden. Se la splash page di Purple non si carica, controlla le voci del tuo walled garden. Il colpevole più comune è un dominio CDN mancante o un reindirizzamento di social login non inserito nella whitelist. Utilizza lo strumento torch di MikroTik o il packet sniffer per osservare quali query DNS vengono bloccate prima dell'autenticazione. Secondo: disallineamenti del timeout RADIUS. Il timeout RADIUS predefinito di MikroTik è di 1.100 millisecondi. Se il server RADIUS di Purple è geograficamente distante o se il percorso di rete presenta latenza, si verificheranno errori di autenticazione intermittenti. Aumenta il timeout a 3.000 millisecondi e configura un server RADIUS di backup per garantire la resilienza. Terzo: filtraggio VLAN non abilitato sul bridge. L'assegnazione dinamica delle VLAN tramite RADIUS funziona solo se il filtraggio VLAN del bridge è abilitato. Questo è un requisito di RouterOS. Se noti che tutti i client finiscono sulla VLAN predefinita indipendentemente da ciò che restituisce il RADIUS, verifica che vlan-filtering=yes sia impostato sulla tua interfaccia bridge. Quarto: disallineamento della versione di CAPsMAN. Se utilizzi un mix di access point gestiti con CAPsMAN versione 2 e versione 3, il comportamento del tagging VLAN può variare. Standardizza su RouterOS 7 con CAPsMAN versione 3 in tutta la tua rete di AP prima di implementare le funzionalità di VLAN dinamica. Un consiglio architetturale: gestisci il traffico degli ospiti, del personale e di gestione su VLAN separate fin dal primo giorno, anche se non utilizzi immediatamente tutti e tre i casi d'uso di Purple. Integrare la segmentazione VLAN in un secondo momento su una rete piatta è significativamente più problematico rispetto alla sua implementazione fin dall'inizio. [DOMANDE E RISPOSTE RAPIDE - circa 1 minuto] Posso utilizzare l'User Manager integrato di MikroTik invece di un server RADIUS esterno? Sì, per implementazioni più piccole. User Manager in RouterOS 7 supporta PEAP-MSCHAPv2 per il wireless 802.1X e può restituire l'attributo Mikrotik-Wireless-VLANID. Per le implementazioni di produzione con Purple, utilizzerai l'infrastruttura RADIUS ospitata di Purple, che gestisce l'integrazione dell'identity provider e la gestione delle sessioni al posto tuo. Purple supporta MikroTik CAPsMAN? Sì. Purple è indipendente dall'hardware. L'integrazione funziona a livello di RADIUS e di reindirizzamento dell'hotspot, quindi è compatibile in egual misura sia con gli access point MikroTik standalone sia con le distribuzioni gestite da CAPsMAN. Quale versione di RouterOS è necessaria? RouterOS 7.x è raccomandato per tutti e tre i casi d'uso trattati in questa guida. L'assegnazione dinamica della VLAN tramite RADIUS wireless e il User Manager aggiornato sono funzionalità di RouterOS 7. RouterOS 6.x supporta l'hotspot e l'autenticazione RADIUS di base, ma è privo di alcune funzionalità VLAN wireless. [RIASSUNTO E PROSSIMI PASSI - circa 1 minuto] Per riassumere: MikroTik RouterOS offre tre distinti punti di integrazione con Purple. L'Hotspot Gateway gestisce il reindirizzamento del WiFi per gli ospiti e l'autenticazione tramite Captive Portal. La configurazione wireless 802.1X con RADIUS gestisce il WiFi sicuro del personale con accesso basato sull'identità. L'autenticazione RADIUS basata su MAC con Private PSK gestisce la segregazione della rete multi-tenant per proprietà residenziali e a uso misto. Il denominatore comune a tutti e tre è il RADIUS. Configura correttamente il tuo client RADIUS - IP corretto, chiave condivisa corretta, tipo di servizio corretto, timeout corretto - e il resto verrà da sé. I prossimi passi: accedi alla tua dashboard Purple, vai alla configurazione della location e recupera le tue credenziali RADIUS. Successivamente, segui i comandi CLI nella guida scritta per configurare il tuo profilo hotspot, il tuo profilo di sicurezza wireless e le voci della tua walled garden. Effettua un test con un singolo access point prima di estendere la configurazione a tutta la tua infrastruttura. Se stai distribuendo questa soluzione su larga scala - più sedi, centinaia di access point - il team di Professional Services di Purple può supportare il deployment. Purple è attivo in oltre 80.000 location reali a livello globale, con un uptime del 99,999%, ed è certificato ISO 27001, GDPR e Cyber Essentials. Grazie per l'attenzione. La guida scritta completa con tutti i comandi CLI, le tabelle degli attributi RADIUS e gli esempi pratici è disponibile nel link presente nelle note dello show.