Passpoint and OpenRoaming: Complete Guide
Questa guida di riferimento tecnico fornisce un'analisi completa dei framework Passpoint (Hotspot 2.0) e WBA OpenRoaming all'interno delle reti WiFi aziendali. Descrive in dettaglio i protocolli di autenticazione sottostanti, i componenti architetturali e le strategie di implementazione necessarie per stabilire una connettività guest sicura e senza attriti. I progettisti di rete e i responsabili IT impareranno a progettare, implementare e risolvere i problemi di questi standard per eliminare le barriere di accesso manuale mantenendo al contempo una sicurezza di livello enterprise.
📚 Parte della nostra serie principale: Multi-Tenant WiFi →
- Executive Summary
- Approfondimento Tecnico
- Il Processo di Rilevamento 802.11u
- Architettura della Federazione OpenRoaming
- Guida all'implementazione
- Passaggio 1: Audit dell'infrastruttura di rete
- Passaggio 2: Configurazione del firewall
- Passaggio 3: Acquisizione del certificato
- Passaggio 4: Configurazione del controller wireless
- Passaggio 5: Configurazione del proxy RADIUS/RadSec
- Best Practice
- Risoluzione dei problemi e mitigazione dei rischi
- Modalità di guasto comuni e soluzioni
- ROI e impatto sul business
- Efficienza operativa
- Postura di sicurezza
- Data Intelligence

Executive Summary
Le esigenze di connettività aziendale sono passate dall'accesso guest manuale, basato su Captive Portal, a un onboarding automatizzato, sicuro e senza attriti. Passpoint (definito dalla Wi-Fi Alliance come Hotspot 2.0) e OpenRoaming (orchestrato dalla Wireless Broadband Alliance) rappresentano la standardizzazione di questo cambiamento. Utilizzando i protocolli IEEE 802.11u e la sicurezza WPA3-Enterprise, queste tecnologie consentono ai dispositivi mobili di rilevare, autenticare e connettersi alle reti WiFi sicure in modo automatico senza l'intervento dell'utente.
Questa guida funge da riferimento autorevole per gli architetti di rete e i direttori IT che pianificano di distribuire queste tecnologie in ambienti di grandi dimensioni, contesti retail e campus aziendali. Esaminiamo gli handshake crittografici alla base, l'architettura di federazione e i passaggi di configurazione pratici richiesti per integrare questi standard nell'infrastruttura wireless esistente. Adottando questi framework, le organizzazioni possono eliminare l'attrito dei portali guest tradizionali, migliorando significativamente al contempo il proprio livello di sicurezza wireless.
Approfondimento Tecnico
Per comprendere Passpoint e OpenRoaming, è necessario innanzitutto analizzare i protocolli sottostanti che ne regolano il funzionamento. Al centro di Passpoint c'è lo standard IEEE 802.11u, un emendamento allo standard 802.11 che consente ai dispositivi wireless di rilevare i servizi di rete prima di stabilire un'associazione.
Storicamente, un dispositivo client doveva associarsi a un Access Point (AP) e ottenere un indirizzo IP prima di poter interrogare le funzionalità della rete. Con il protocollo 802.11u, questo rilevamento avviene nello stato di pre-associazione utilizzando le query Access Network Query Protocol (ANQP).
Il Processo di Rilevamento 802.11u
Quando un dispositivo abilitato per Passpoint scansiona le frequenze radio, rileva un beacon contenente un elemento di Interworking. Questo elemento segnala che l'AP supporta lo standard 802.11u e pubblicizza il suo tipo di rete (ad esempio, privata, pubblica gratuita, pubblica a pagamento). Il dispositivo client invia quindi una query ANQP per richiedere parametri specifici, come:
- Roaming Consortium Organisation Identifiers (OI): Identificatori univoci globali assegnati dall'IEEE che rappresentano partner di roaming o federazioni specifiche.
- Nome e Gruppo della Sede (Venue): Metadati che descrivono la posizione fisica (ad esempio, "Terminal 2" o "Stadio").
- Disponibilità del Tipo di Indirizzo IP: Informazioni sulla disponibilità di IPv4 o IPv6 e sull'eventuale applicazione del NAT.
Se il dispositivo client possiede un profilo contenente un OI di Roaming Consortium corrispondente, avvia il processo di autenticazione senza richiedere l'intervento dell'utente.
Architettura della Federazione OpenRoaming
OpenRoaming funge da livello di federazione globale al di sopra di Passpoint. Stabilisce una Public Key Infrastructure (PKI) sicura gestita dalla Wireless Broadband Alliance (WBA). Questa federazione consente agli Identity Provider (IDP) - come gli operatori di rete mobile, i produttori di dispositivi (Apple, Google) e i sistemi di identità aziendali - di interconnettersi in modo sicuro con i provider di rete.L'autenticazione viene eseguita utilizzando WPA3-Enterprise (o WPA2-Enterprise per la compatibilità con i sistemi legacy) con Protected Extensible Authentication Protocol (PEAP) o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). L'AP funge da autenticatore, incapsulando i pacchetti EAP in pacchetti RADIUS (Remote Authentication Dial-In User Service) o RadSec (RADIUS su TLS) e inoltrandoli all'identity provider.
RadSec è obbligatorio in OpenRoaming per proteggere la comunicazione tra il proxy RADIUS della rete locale e gli IDP globali su internet pubblico. RadSec utilizza la porta TCP 2083 e la crittografia TLS, garantendo che le credenziali dell'utente e gli attributi di autenticazione rimangano riservati durante il transito attraverso i provider di transito intermedi.
Guida all'implementazione
La distribuzione di Passpoint e OpenRoaming richiede un approccio sistematico che coinvolge il controller wireless (WLC), l'infrastruttura RADIUS e le configurazioni DNS/firewall.
Passaggio 1: Audit dell'infrastruttura di rete
Assicurati che i tuoi AP e WLC supportino lo standard 802.11u e Passpoint Release 2 o 3. Verifica che il tuo server RADIUS supporti RadSec (RFC 6614). Se il tuo server RADIUS legacy non supporta RadSec, devi distribuire un proxy RadSec (come FreeRADIUS o un gateway dedicato) nella tua DMZ.
Passaggio 2: Configurazione del firewall
Apri la porta TCP in uscita 2083 verso i server proxy RadSec di OpenRoaming. Assicurati che la risoluzione DNS sia configurata correttamente sui tuoi server RADIUS, poiché RadSec si affida al Dynamic Delegation Discovery System (DDDS) e ai record NAPTR per individuare l'IDP appropriato.
Passaggio 3: Acquisizione del certificato
Ottieni un certificato RadSec approvato da WBA da un'Autorità di Certificazione (CA) autorizzata. Questo certificato è fondamentale per l'autenticazione mTLS (mutual TLS) tra il tuo proxy RadSec locale e i broker della federazione OpenRoaming.
Passaggio 4: Configurazione del controller wireless
- Crea un SSID sicuro: Configura un nuovo SSID o modificane uno esistente per utilizzare WPA3-Enterprise (o la modalità di transizione WPA2/WPA3).
- Abilita 802.11u (Interworking): Abilita la funzione Interworking sull'SSID.
- Configura l'HESSID: Imposta l'Homogeneous ESSID, in genere l'indirizzo MAC di una delle radio AP, per identificare in modo univoco il gruppo di rete.
- Aggiungi gli OI del Roaming Consortium: Aggiungi gli OI del Roaming Consortium di OpenRoaming. Gli OI standard sono:
5A-03-BE-00-00(Senza regolamento finanziario, identità verificate da Google, Apple o operatori di telefonia mobile)5A-03-BE-00-01(Con regolamento finanziario, per accordi di roaming commerciale)
- Configura i parametri ANQP: Definisci il Venue Name, il Venue Group e il Network Type.
Passaggio 5: Configurazione del proxy RADIUS/RadSec
Configura il tuo server RADIUS locale per fungere da proxy RadSec. Definisci le regole di instradamento che inoltrano le richieste di autenticazione contenenti gli OI di OpenRoaming o pattern di realm specifici al gateway RadSec di OpenRoaming.
Best Practice
Per garantire una distribuzione stabile e ad alte prestazioni, attieniti alle seguenti raccomandazioni standard del settore:
- Consolidamento degli SSID: Non creare un SSID dedicato per Passpoint o OpenRoaming. Combinali invece in un unico SSID aziendale sicuro. Questo riduce al minimo l'overhead dei beacon e preserva tempo di trasmissione prezioso.
- Gestione dei certificati: Implementa processi di rinnovo automatico per i tuoi certificati RadSec. Un certificato scaduto interromperà immediatamente tutte le autenticazioni OpenRoaming.
- Pianificazione dei canali: Poiché Passpoint si affida agli scambi ANQP pre-associazione, i dispositivi client impiegano più tempo per la scansione e l'interrogazione. Ottimizza la pianificazione dei canali a 5 GHz e 6 GHz per ridurre la congestione e garantire risposte rapide ai probe.
- Filtro dei realm: Implementa un filtro rigoroso dei realm sul proxy RadSec per evitare che il traffico di autenticazione non necessario intasi la rete di federazione. Inoltra solo le richieste che corrispondono a pattern OpenRoaming validi.
- Allineamento della User Experience: Assicurati che la segnaletica fisica della location e i materiali di marketing digitale informino gli utenti della possibilità di connettersi automaticamente tramite OpenRoaming, riducendo l'affidamento a SSID aperti non crittografati.
Risoluzione dei problemi e mitigazione dei rischi
Modalità di guasto comuni e soluzioni
Problema: I dispositivi client non si connettono automaticamente
- Causa principale: OI del consorzio di roaming mancanti o configurati in modo errato sul WLC, oppure il dispositivo client non ha il profilo corretto installato.
- Mitigazione: Utilizza un analizzatore di pacchetti per acquisire i frame di beacon e risposta ai probe. Verifica che l'elemento di interworking 802.11u contenga gli OI corretti. Assicurati che il profilo client sia configurato correttamente tramite un MDM o un portale di provisioning.
Problema: Errori di connessione RadSec
- Causa principale: Il firewall blocca la porta TCP 2083 o i certificati RadSec non sono validi o sono scaduti.
- Mitigazione: Esegui un'acquisizione di pacchetti sull'interfaccia WAN del proxy RADIUS. Verifica che l'handshake TLS si completi con successo. Controlla lo stato della lista di revoca dei certificati (CRL).
Problema: Elevata latenza durante l'autenticazione
- Causa principale: IDP geograficamente distanti o risoluzione DNS lenta per i record NAPTR.
- Mitigazione: Implementa la memorizzazione nella cache locale dei record DNS e assicurati che il proxy RADIUS disponga di percorsi a bassa latenza verso gli hub regionali OpenRoaming.
ROI e impatto sul business
La transizione a Passpoint e OpenRoaming offre un valore aziendale misurabile attraverso tre vettori principali: efficienza operativa, postura di sicurezza e data intelligence.
Efficienza operativa
Automatizzando il processo di connessione, le location registrano una riduzione significativa dei ticket di supporto relativi al guest WiFi. Il personale della reception e gli helpdesk IT dedicano meno tempo alla risoluzione dei problemi relativi ai guasti del captive portal e alle password.
Postura di sicurezza
Le reti guest aperte tradizionali espongono gli utenti a intercettazioni e attacchi man-in-the-middle. Passpoint impone una crittografia di livello aziendale (WPA2/WPA3-Enterprise), proteggendo tutto il traffico aereo. Questo tutela sia l'utente che la location da responsabilità associate a violazioni dei dati.
Data Intelligence
Quando integrato con piattaforme come Purple, Passpoint consente alle location di identificare i visitatori ricorrenti in modo trasparente. Poiché il dispositivo si connette automaticamente, la location acquisisce metriche accurate sul tempo di permanenza e sulla frequenza delle visite senza richiedere all'utente di aprire un browser e accedere ripetutamente. Questo flusso continuo di dati consente strategie di engagement in tempo reale altamente mirate.
Definizioni chiave
Passpoint
Un programma di certificazione della Wi-Fi Alliance (basato su Hotspot 2.0) che consente ai dispositivi mobili di rilevare e connettersi automaticamente alle reti WiFi con una sicurezza di livello enterprise.
Costituisce la base tecnica per un onboarding degli ospiti senza interruzioni.
OpenRoaming
Una federazione di roaming globale creata dalla Wireless Broadband Alliance (WBA) che consente agli utenti di connettersi in modo sicuro e automatico alle reti WiFi utilizzando identità attendibili.
Agisce come livello di policy e identità al di sopra di Passpoint.
ANQP
Access Network Query Protocol. Un protocollo di query-risposta utilizzato dai dispositivi mobili per rilevare le funzionalità della rete prima di associarsi a un AP.
Cruciale per il rilevamento pre-associazione nello standard 802.11u.
802.11u
Un emendamento allo standard IEEE 802.11 che aggiunge funzionalità per l'interoperabilità con reti esterne, consentendo il rilevamento pre-associazione.
Lo standard a livello fisico e MAC che rende possibile Passpoint.
RadSec
RADIUS su TLS (RFC 6614). Un protocollo che protegge i pacchetti RADIUS incapsulandoli all'interno di un tunnel TLS su TCP.
Obbligatorio per OpenRoaming per proteggere il traffico di autenticazione sulla rete internet pubblica.
Roaming Consortium OI
Roaming Consortium Organisation Identifier. Un identificatore esadecimale univoco assegnato dall'IEEE per identificare una specifica federazione o partner di roaming.
Utilizzato dagli AP per annunciare quali credenziali di roaming accettano.
HESSID
Homogeneous ESSID. Un indirizzo MAC a 48 bit configurato sugli AP per identificare un gruppo di AP appartenenti alla stessa rete o sede.
Aiuta i dispositivi client a comprendere che più AP appartengono allo stesso dominio amministrativo.
EAP-TLS
Extensible Authentication Protocol-Transport Layer Security. Un protocollo di autenticazione che utilizza certificati digitali per la mutua autenticazione.
Il metodo di autenticazione più sicuro supportato da Passpoint.
Esempi pratici
La distribuzione in uno stadio su larga scala richiede la configurazione di un controller wireless Cisco Catalyst 9800 per supportare OpenRoaming (Settlement-Free) insieme agli SSID aziendali esistenti. Il progettista di rete deve garantire che i dispositivi client rilevino e si connettano automaticamente alla rete utilizzando gli OI della Roaming Consortium corretti.
Per implementare questo sul WLC Cisco Catalyst 9800, seguire questi passaggi di configurazione:
- Definire il profilo del server ANQP:
wireless profile anqp openroaming-anqp-profile
venue-name english "Stadium Main Bowl"
venue-group assembly venue-type arena
network-auth-type redirect-url "https://portal.purple.ai"
ip-type ipv4-nat ipv6-no-address
- Creare il profilo Roaming Consortium e aggiungere l'OI OpenRoaming Settlement-Free (5A-03-BE-00-00):
wireless profile roaming openroaming-roaming-profile
roaming-consortium-oi 5A03BE0000
- Configurare il profilo Hotspot 2.0 (Passpoint):
wireless profile hotspot openroaming-hotspot-profile
anqp-server-profile openroaming-anqp-profile
roaming-consortium-profile openroaming-roaming-profile
hessid 00:11:22:33:44:55
- Applicare il profilo Hotspot al profilo WLAN di destinazione:
wlan openroaming-wlan 1 openroaming-ssid
security wpa wpa3
security wpa akm eap
hotspot-profile openroaming-hotspot-profile
no shutdown
- Verificare la configurazione tramite la CLI:
show wireless profile hotspot detailed openroaming-hotspot-profile
Una catena retail multi-sito desidera migrare da un Captive Portal tradizionale a un modello ibrido. Desiderano utilizzare OpenRoaming per una connessione fluida, utilizzando al contempo la piattaforma di analisi di Purple per monitorare il comportamento dei visitatori ed eseguire campagne mirate in base al tempo di permanenza.
La soluzione richiede la configurazione di un proxy RadSec per instradare le richieste di autenticazione alla federazione OpenRoaming e inviare contemporaneamente i dati di accounting alla piattaforma cloud di Purple.
- Configurare il proxy RadSec locale (ad esempio, FreeRADIUS) per stabilire una connessione TLS con il gateway OpenRoaming:
home_server openroaming_radsec {
type = auth+acct
ipaddr = radsec.openroaming.org
port = 2083
proto = tcp
tls {
private_key_file = /etc/raddb/certs/radsec.key
certificate_file = /etc/raddb/certs/radsec.pem
ca_file = /etc/raddb/certs/wba_ca.pem
}
}
- Configurare il server di accounting per duplicare i pacchetti di accounting e inoltrarli agli endpoint di accounting RADIUS di Purple:
home_server purple_accounting {
type = acct
ipaddr = acct.purpleportal.net
port = 1813
secret = PurpleSharedSecret
}
realm openroaming {
auth_pool = openroaming_radsec
acct_pool = purple_accounting
}
- Sul WLC, assicurarsi che l'accounting RADIUS sia abilitato e configurato per inviare aggiornamenti intermedi ogni 300 secondi. Ciò garantisce che Purple riceva continuamente i dati sul tempo di permanenza, anche se l'utente non apre attivamente un browser.
Domande di esercitazione
Q1. Un ingegnere di rete nota che i dispositivi Android si connettono automaticamente all'SSID OpenRoaming, ma i dispositivi iOS richiedono agli utenti di selezionare manualmente la rete. Qual è la causa più probabile di questo comportamento?
Suggerimento: Considera il modo in care i profili vengono forniti e ritenuti attendibili sui diversi sistemi operativi mobili.
Visualizza risposta modello
La causa più probabile è che sui dispositivi iOS non sia installato il profilo OpenRoaming richiesto o che il payload del certificato del profilo non sia ritenuto attendibile da iOS. I dispositivi Android spesso presentano profili OpenRoaming preinstallati dai produttori del dispositivo o configurazioni dell'operatore. iOS richiede l'installazione esplicita del profilo tramite un MDM, un'app di provisioning o un portale come Purple per considerare attendibile la CA radice e associare il Roaming Consortium OI all'SSID.
Q2. Durante l'acquisizione di pacchetti sull'interfaccia WAN di un proxy RadSec, si osservano pacchetti TCP SYN inviati alla porta 2083, ma non viene ricevuto alcun SYN-ACK. Quali passaggi di risoluzione dei problemi dovresti intraprendere?
Suggerimento: Concentrati sul percorso di rete e sulle configurazioni del firewall.
Visualizza risposta modello
- Verificare che la policy del firewall in uscita consenta il traffico sulla porta TCP 2083 dall'IP del proxy RadSec verso il gateway OpenRoaming di destinazione.
- Verificare se è presente un dispositivo di sicurezza intermedio (come un IPS o un firewall con deep packet inspection) che blocca o interrompe il traffico.
- Confermare che l'indirizzo IP di destinazione risolto tramite i record DNS NAPTR sia corretto e raggiungibile.
- Eseguire un traceroute per identificare dove si verifica la perdita del pacchetto nel percorso di transito.
Q3. Perché il consolidamento degli SSID è considerato una best practice quando si distribuiscono Passpoint e OpenRoaming, e qual è l'impatto tecnico se si ignora questa raccomandazione?
Suggerimento: Pensa all'efficienza del tempo di trasmissione dell'aria e al sovraccarico dei beacon.
Visualizza risposta modello
Il consolidamento degli SSID è fondamentale perché ogni SSID configurato su un AP deve trasmettere i propri beacon frame, solitamente alla velocità dati obbligatoria supportata più bassa. La creazione di un SSID dedicato per Passpoint/OpenRoaming aumenta l'overhead dei beacon, consumando tempo di trasmissione prezioso e riducendo la capacità complessiva della rete. Consolidando Passpoint su un SSID aziendale sicuro esistente, l'AP annuncia i parametri 802.11u all'interno dei beacon frame esistenti, preservando il tempo di trasmissione e mantenendo un'efficienza ottimale dei canali.
Continua a leggere questa serie
Configuring RADIUS Authentication for Guest and Staff WiFi Networks
Questa guida di riferimento tecnica descrive l'architettura, la configurazione e l'implementazione dell'autenticazione RADIUS per le reti WiFi aziendali per ospiti e personale. Fornisce ai network architect e ai manager IT i protocolli esatti, gli standard di sicurezza e le metodologie di risoluzione dei problemi necessari per creare sistemi di controllo degli accessi wireless sicuri e scalabili.
Come Implementare SCEP per il Secure BYOD e l'Iscrizione di Rete nell'Istruzione Superiore
Questa guida tecnica fornisce ad architetti di rete e responsabili IT un modello indipendente dal fornitore per implementare la registrazione dei certificati basata su SCEP per proteggere le reti dei campus universitari. Descrive in dettaglio come migrare dal protocollo PEAP basato su password a 802.1X EAP-TLS, automatizzare l'onboarding dei dispositivi BYOD e applicare una robusta segmentazione VLAN.
Server RADIUS: una guida completa per le aziende
Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.