Ubiquiti UniFi and guest WiFi: captive portal setup with Purple

Benvenuto al Purple Technical Briefing. Sono il tuo presentatore e nei prossimi dieci minuti ti forniremo una guida di livello senior per l'integrazione della piattaforma di intelligence WiFi di Purple con le reti Ubiquiti UniFi. Questo contenuto è rivolto a IT manager, network architect e direttori delle operazioni che necessitano di indicazioni pratiche per implementare una soluzione WiFi per ospiti di livello mondiale. Copriremo l'architettura principale, un piano di implementazione dettagliato e i tipici errori da evitare. Inquadriamo il contesto. Hai una rete UniFi - è potente, è scalabile, ma le sue funzionalità native di portale ospiti sono di base. La tua organizzazione ha bisogno di qualcosa di più di una semplice password; ha bisogno di intelligenza. Desideri comprendere il comportamento dei visitatori, acquisire dati per il marketing in modo conforme al GDPR e offrire un'esperienza utente coerente e personalizzata con il tuo brand. Questo è il problema che l'integrazione di Purple risolve. Trasforma la tua infrastruttura UniFi da un semplice fornitore di connettività internet a una ricca fonte di business intelligence. Il nucleo di questa integrazione risiede nella funzionalità External Portal Server di UniFi. Quando un ospite si connette, il controller UniFi non gestisce direttamente il login. Al contrario, reindirizza l'utente alla piattaforma cloud di Purple, che prende in carico l'intero percorso di autenticazione. Dopo che l'utente ha effettuato l'accesso tramite un account social, un modulo o un voucher, Purple effettua una chiamata API sicura al tuo controller UniFi per comunicare: "Questo utente è autenticato, concedigli l'accesso." È un'architettura semplice, robusta ed estremamente efficace. Ora passiamo all'approfondimento tecnico. Esaminiamo i cinque passaggi chiave per un'installazione di successo. Sarò sintetico. Passaggio uno: Accessibilità del controller. Il tuo controller UniFi deve essere raggiungibile dalla piattaforma cloud di Purple. Ciò significa che hai bisogno di un IP pubblico statico o di un hostname e devi configurare una regola di port forwarding sul tuo firewall. Si tratta della porta TCP 8443 per i controller software e della porta 443 per l'hardware come UDM Pro o Cloud Key Gen2. Passaggio due: Il SSID ospite. All'interno della tua UniFi Network Application, creerai una nuova rete wireless. L'impostazione cruciale qui è che il protocollo di sicurezza deve essere Open. Questo non è negoziabile. È questo stato aperto che consente il reindirizzamento al Captive Portal. Non preoccuparti - la sicurezza è gestita dal portale e dalla segmentazione della rete, non da una chiave precondivisa. Passaggio tre: Il Hotspot Portal. Qui è dove indichi a UniFi di utilizzare Purple. Abiliterai il Hotspot Portal e imposterai il tipo di autenticazione su External Portal Server. Successivamente inserirai l'indirizzo IP specifico e il dominio di accesso forniti da Purple. Un errore fondamentale da evitare in questa fase è l'abilitazione del reindirizzamento HTTPS. Purple gestisce la sicurezza, quindi questa opzione deve essere disabilitata. Fase quattro: Il Walled Garden. Questa è la parte più critica e spesso fraintesa della configurazione. Il Walled Garden è la tua whitelist di pre-autenticazione. Devi aggiungere tutti i domini di Purple, oltre ai domini per qualsiasi provider di login social che desideri offrire, come facebook.com. Se questo elenco è incompleto, il portale semplicemente non si caricherà per i tuoi ospiti. È il primo punto da controllare durante la risoluzione dei problemi. Fase cinque: Il portale Purple. Infine, accedi al tuo account Purple. Nelle impostazioni della tua sede, inserirai l'indirizzo pubblico del tuo controller UniFi e, cosa molto importante, le credenziali per un account amministratore locale dedicato - non il tuo account cloud Ubiquiti. Questo è ciò che consente a Purple di effettuare quella chiamata API vitale per autorizzare l'ospite. Segui questi cinque passaggi e avrai una soluzione WiFi per ospiti robusta e di livello enterprise. Parliamo di raccomandazioni di implementazione e potenziali errori. Regola d'oro numero uno: la segmentazione della rete. Il tuo SSID ospite deve essere sulla propria VLAN, completamente isolato dalla rete aziendale. Questo è non negoziabile per la sicurezza e la conformità PCI-DSS. Secondo, utilizza la limitazione della larghezza di banda. UniFi ti consente di impostare limiti di velocità per utente. Usali per garantire un'esperienza equa per tutti. Terzo, come ho già menzionato, utilizza un account amministratore locale dedicato per l'API. Questo limita l'esposizione della tua sicurezza. L'errore più comune che riscontriamo è un reindirizzamento non riuscito - il portale non si carica. Nove volte su dieci, ciò è dovuto a un Walled Garden incompleto. Il secondo problema più comune è un accesso riuscito, ma senza accesso a internet. Questo indica direttamente un errore di comunicazione tra Purple e il tuo controller. Verifica le regole di port forwarding e le credenziali di amministratore nel portale Purple. È il momento di una sessione di domande e risposte rapide. Mi viene spesso chiesto: posso farlo con un UDM Pro? Sì, assolutamente. Il processo è identico, ricordati solo di usare la porta 443. Cosa succede se l'IP del mio controller cambia? Hai bisogno di un IP statico o di un hostname DNS dinamico. Se l'indirizzo cambia, l'integrazione si interromperà. Quanto è sicuro un SSID aperto? La sicurezza è garantita dall'isolamento dei client sull'access point e dalle regole del firewall della VLAN. La rete ospiti è isolata. Per una sicurezza ancora maggiore, possiamo distribuire WPA3 con RADIUS, che è ciò che fa la nostra soluzione PurpleConnex.In sintesi, l'integrazione di Purple con UniFi eleva il tuo WiFi per ospiti da una semplice utilità a una risorsa strategica. Fornisce una profonda business intelligence, potenti funzionalità di marketing e un'esperienza utente professionale. La chiave del successo è un approccio metodico alla configurazione: garantire l'accesso pubblico al controller, utilizzare un SSID aperto, configurare correttamente il portale esterno e il Walled Garden e utilizzare un amministratore locale dedicato per l'API. Seguendo questa guida, puoi garantire una distribuzione fluida, di successo e di grande valore. Per istruzioni scritte dettagliate passo dopo passo e diagrammi, consulta la guida tecnica di riferimento completa sul nostro sito web. Grazie per aver ascoltato il Purple Technical Briefing.