Grandstream GWN e WiFi para convidados: configuração do Captive Portal com a Purple

Bem-vindo ao Purple Technical Briefing Series. Eu sou o seu anfitrião e hoje vamos cobrir um padrão de implantação que está se tornando cada vez mais comum em hospitalidade, varejo e propriedades multi-tenant: a integração de access points Grandstream GWN com a plataforma de guest WiFi da Purple. Se você é um MSP, uma equipe de TI interna ou um arquiteto de rede que recebeu uma implantação Grandstream GWN e precisa adicionar um captive portal personalizado com analytics, este episódio é para você. Vamos cobrir todo o stack: redirecionamento de splash page de visitantes, configuração de walled garden, WiFi seguro para funcionários usando 802.1X e segmentação multi-tenant usando o recurso Private Pre-Shared Key da Grandstream. Vamos começar. --- Primeiro, um pouco de contexto. A série GWN da Grandstream é uma linha robusta de access points para o mercado intermediário. Você tem o GWN7600 e o GWN7630 para implantações internas, o GWN7660 e o GWN7664 para ambientes Wi-Fi 6, e o GWN7610 como uma opção de montagem no teto para espaços de maior densidade. Eles são gerenciados através do GWN Manager, que é um controlador on-premise que você instala em um servidor Linux ou Windows, ou através do GWN dot Cloud, que é a plataforma de gerenciamento hospedada na nuvem da Grandstream, agora renomeada como GDMS Networking. A boa notícia para os MSPs é que ambas as plataformas de gerenciamento suportam a configuração de captive portal nativamente. Você pode criar a política do portal, personalizar a splash page e associá-la a um SSID inteiramente dentro do GWN Manager ou do GWN dot Cloud. Mas para implantações corporativas onde você precisa de captura de dados em conformidade com a GDPR, automação de marketing e analytics em tempo real, você vai substituir esse portal nativo por uma plataforma externa. É aí que a Purple entra. A Purple opera como um cloud overlay. Ela fica acima do seu hardware e fornece o captive portal, a camada de autenticação RADIUS, o mecanismo de analytics e as ferramentas de marketing. A Purple suporta 80.000 locais ativos e processou 440 milhões de logins apenas em 2024, de modo que a plataforma é amplamente testada em escala. A integração com o Grandstream GWN segue a mesma abordagem baseada em padrões que a Purple utiliza em todo o portfólio Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. --- Vamos entrar na arquitetura técnica. O fluxo de guest WiFi no Grandstream GWN com a Purple funciona da seguinte forma. Um visitante se conecta ao seu SSID de visitantes. O dispositivo dele envia uma requisição HTTP para qualquer site. O access point GWN intercepta essa requisição e emite um redirecionamento HTTP 302 para a URL do portal Purple. O visitante chega à sua splash page personalizada, hospedada pela Purple. Ele se autentica, seja via e-mail, login social, verificação de SMS ou um formulário personalizado. A plataforma da Purple valida essa autenticação, registra o consentimento e os dados em conformidade com a GDPR e, em seguida, envia um RADIUS Access-Accept de volta para o access point GWN. O AP concede o acesso à internet. Todo o fluxo leva cerca de três a cinco segundos desde a conexão até o acesso à internet. Agora, os principais componentes de configuração do lado da Grandstream são: a política de Captive Portal, as configurações da splash page, o walled garden e a associação do SSID. Permita-me orientar você em cada um deles. --- Passo um: configurar a política de Captive Portal no GWN Manager ou GWN dot Cloud. Navegue até Captive Portal, depois Policy List, e crie uma nova política. Dê a ela um nome descritivo, algo como "Purple-Guest-Portal". Defina o Authentication Type como RADIUS Server. Você verá campos para RADIUS Server Address, RADIUS Server Port e RADIUS Server Secret. Insira o endereço IP do servidor RADIUS da Purple e a porta 1812 para autenticação. Seu segredo compartilhado (shared secret) vem do console de administração do portal Purple, na seção de configuração de hardware do local. Defina o RADIUS Authentication Method como PAP, que é o que o fluxo de Captive Portal da Purple utiliza. Em Landing Page, defina como Redirect to External Page e insira a URL de redirecionamento do portal Purple. Esta é a URL para a qual os visitantes serão direcionados quando se conectarem pela primeira vez. Novamente, ela vem do seu console de administração Purple. Defina o tempo de expiração (Expiration) para corresponder à política de sessão do seu local. Para um hotel, 24 horas é o mais comum. Para um local de eventos, você pode definir para a duração do evento. Para o varejo, o comum é de duas a quatro horas. Habilite o Failsafe Mode. Isso é importante. Se o ponto de acesso GWN não conseguir alcançar o servidor RADIUS da Purple, o failsafe mode concede acesso à internet mesmo assim, em vez de bloquear todos os visitantes. Para a maioria das implantações de hotelaria e varejo, uma breve interrupção do RADIUS não deve resultar na perda de conectividade de todos os visitantes. --- Passo dois: configurar o walled garden. O walled garden é a lista de domínios e endereços IP que os visitantes podem acessar antes de se autenticarem pelo portal. Se você errar isso, os visitantes verão uma página em branco ou um portal quebrado, e culparão o WiFi. No GWN Manager, o walled garden é configurado na política de Captive Portal como Pre-Authentication Rules. Adicione os seguintes domínios como regras de permissão: o domínio do portal Purple, que é portal dot purple dot ai; quaisquer domínios de CDN dos quais a splash page da Purple carregue recursos, incluindo cloudfront dot net usando uma entrada curinga; o endpoint de detecção de Captive Portal da Apple, captive dot apple dot com; e o endpoint de verificação de conectividade do Google, connectivitycheck dot gstatic dot com. O portal de suporte da Purple possui um gerador de walled garden dinâmico em support dot purple dot ai. Selecione Grandstream na lista de hardware, escolha seus métodos de autenticação e ele gerará a lista exata de domínios que você precisa. Use essa lista. Não tente criá-la manualmente do zero.Uma decisão que você precisa tomar: incluir ou não o captive dot apple dot com no walled garden? Se você o incluir, os dispositivos iOS não mostrarão o mini-navegador Captive Network Assistant automaticamente. Os visitantes precisarão abrir um navegador manualmente para acessar o portal. Se você o excluir, o iOS aciona o mini-navegador automaticamente quando o dispositivo se conecta. Para a maioria das implantações de hotelaria, você deseja que o mini-navegador apareça, portanto, deixe o captive dot apple dot com fora do walled garden. --- Passo três: configure o SSID. No GWN Manager, navegue até SSID e edite o seu SSID de visitantes. Habilite o Captive Portal e selecione a política que você acabou de criar. Defina o SSID para WPA2-Personal com uma senha aberta simples, ou configure-o como um SSID aberto se o seu estabelecimento preferir essa abordagem. A segurança neste fluxo vem da autenticação do portal, não da senha do WiFi. Habilite o Client Isolation. Isso impede que os visitantes vejam os dispositivos uns dos outros na rede. É um requisito básico de segurança e uma consideração de PCI-DSS se o seu estabelecimento processar pagamentos com cartão na mesma infraestrutura. Atribua o SSID à sua VLAN de visitantes. A VLAN 10 é uma convenção comum para tráfego de visitantes. Certifique-se de que o switch e o roteador upstream estejam configurados para rotear essa VLAN para a internet com as regras de firewall apropriadas. --- Agora vamos falar sobre o WiFi da equipe usando 802.1X. O IEEE 802.1X é o padrão para controle de acesso à rede baseado em porta. Para o WiFi da equipe, ele substitui a chave pré-compartilhada por credenciais individuais por usuário, validadas em um provedor de identidade. Quando um membro da equipe se conecta, o ponto de acesso GWN age como o autenticador, o dispositivo dele é o solicitante e o servidor RADIUS da Purple é o servidor de autenticação. No GWN Manager, crie um SSID separado para a equipe. Defina o Security Mode para WPA2-Enterprise, que habilita o 802.1X. Configure as definições do servidor RADIUS com o IP do RADIUS da Purple, porta 1812 e seu segredo compartilhado. Habilite o RADIUS Accounting na porta 1813 para obter uma trilha de auditoria completa de quem se conectou, quando e por quanto tempo. Essa trilha de auditoria é o que você precisa para conformidade com a GDPR e para responder a quaisquer incidentes de segurança. Para o método EAP, você tem duas opções principais. O EAP-TLS usa certificados digitais tanto no servidor quanto no dispositivo do cliente. É a opção mais segura, mas exige uma plataforma de Gerenciamento de Dispositivos Móveis para enviar os certificados para os dispositivos da equipe. Se você possui o Microsoft Intune ou Jamf, o EAP-TLS é a escolha certa. O PEAP, que significa Protected EAP, usa um nome de usuário e senha dentro de um túnel TLS criptografado. É mais fácil de implantar, especialmente para ambientes BYOD, mas você deve garantir que a equipe seja treinada para não aceitar avisos de certificado. Um ponto de acesso não autorizado pode coletar credenciais PEAP se os usuários clicarem para ignorar os erros de certificado.Habilite a atribuição de VLAN dinâmica nas configurações de SSID. Quando ativado, o servidor RADIUS pode retornar um VLAN ID no pacote Access-Accept, e o GWN AP colocará o dispositivo conectado nessa VLAN. Isso significa que você pode ter um único SSID de funcionários, mas segmentar automaticamente a equipe de TI na VLAN 20, a gerência na VLAN 21 e os dispositivos de ponto de venda na VLAN 40, tudo com base na identidade do usuário no diretório do Purple. Os atributos RADIUS para VLAN dinâmica são: Tunnel-Type definido como VLAN, que é o valor de atributo 13; Tunnel-Medium-Type definido como IEEE-802, que é o valor de atributo 6; e Tunnel-Private-Group-ID definido como o número da VLAN como uma string. Esses três atributos no pacote Access-Accept são tudo de que o GWN AP precisa para direcionar o dispositivo para a VLAN correta. - Agora, o recurso que é particularmente relevante para propriedades multi-tenant: Grandstream Private Pre-Shared Keys, ou PPSK. PPSK é um mecanismo que permite que um único SSID ofereça suporte a várias senhas exclusivas, cada uma mapeada para uma VLAN ou política de rede diferente. Pense em um bloco de apartamentos de aluguel integrado, um espaço de co-working ou um edifício de escritórios compartilhados. Você quer um SSID visível para todos, mas cada locatário recebe sua própria senha que o coloca em seu próprio segmento de rede isolado. No GWN Manager, o PPSK é configurado nas configurações de SSID. Defina o Modo de Segurança como WPA2-Personal e ative o PPSK. Você poderá criar entradas PSK individuais, cada uma com uma senha exclusiva e um VLAN ID associado. Quando um dispositivo se conecta usando a senha do Locatário A, o AP o coloca na VLAN 31. Quando um dispositivo usa a senha do Locatário B, ele cai na VLAN 32. Os locatários compartilham o mesmo SSID, mas ficam totalmente isolados uns dos outros na camada de rede. Para implantações maiores, a Grandstream também oferece suporte a PPSK com backend RADIUS. Nesse modo, o AP envia o PSK como um atributo RADIUS para o servidor de autenticação, que o valida e retorna a atribuição de VLAN apropriada. É aqui que o recurso Identity-Based Networks do Purple se integra diretamente. O Purple pode gerenciar o banco de dados PPSK, validar chaves em seu diretório e retornar atribuições de VLAN dinâmicas, oferecendo a você o gerenciamento centralizado de centenas de credenciais de locatários a partir de uma única plataforma. O atributo RADIUS usado para validação de PPSK é normalmente o atributo Tunnel-Password, ou um atributo específico do fornecedor, dependendo da versão do firmware. Verifique as notas de versão da Grandstream para o seu firmware específico, pois o mapeamento de atributos evoluiu nas versões do GWN Manager. - Deixe-me cobrir os dois modos de falha mais comuns que vejo em implantações da Grandstream com portais externos. O primeiro é o redirecionamento que não funciona. Um visitante se conecta ao SSID, abre um navegador e recebe um erro de "o site não pode ser acessado" em vez da página do portal. A causa mais provável é uma configuração incorreta de walled garden. A própria página do portal está sendo bloqueada antes da autenticação. Abra as ferramentas de desenvolvedor do seu navegador em um dispositivo de teste conectado ao SSID de visitante, verifique a aba de rede e identifique quais solicitações estão falhando. Adicione esses domínios às suas regras de pré-autenticação. O segundo modo de falha é o timeout do RADIUS. O AP envia uma solicitação Access-Request para o servidor RADIUS do Purple e não recebe resposta. Isso geralmente significa que um firewall está bloqueando a porta UDP 1812 de saída da VLAN de gerenciamento do AP para a faixa de IPs RADIUS do Purple. Verifique as regras do seu firewall. Os endereços IP de RADIUS do Purple estão documentados no console de administração do Purple em configurações do local. Certifique-se de que os IPs RADIUS primário e secundário estejam permitidos. Um terceiro que vale a pena mencionar: VLAN dinâmica não funciona. Os funcionários se conectam e caem na VLAN errada. A causa mais comum é que a opção de Habilitar VLAN Dinâmica não está marcada nas configurações de SSID no GWN Manager. É uma única caixa de seleção fácil de esquecer. A segunda causa é uma incompatibilidade de chave compartilhada (shared secret). Se a chave compartilhada no AP não coincidir com a configurada no Purple, o AP descarta silenciosamente a resposta do RADIUS e retorna para a VLAN padrão. - Deixe-me apresentar dois cenários do mundo real para tornar isso mais concreto. Cenário um: um hotel de 120 quartos. O hotel utiliza pontos de acesso GWN7660 gerenciados pelo GWN dot Cloud. Eles precisam de um portal de visitantes personalizado para os hóspedes, uma rede segura para funcionários da recepção e governança, e uma VLAN de gerenciamento separada para o sistema de gestão de propriedade. A configuração utiliza três SSIDs: Guest WiFi na VLAN 10 com a política de Captive Portal do Purple; Staff WiFi na VLAN 20 com WPA2-Enterprise e autenticação PEAP no RADIUS do Purple; e um SSID de gerenciamento oculto na VLAN 30 para terminais de PMS. A atribuição de VLAN dinâmica no SSID dos funcionários faz com que os dispositivos de governança caiam na VLAN 21 com acesso restrito à internet, enquanto os dispositivos da recepção caem na VLAN 20 com acesso total. O painel de análise do Purple mostra ao operador do hotel a contagem diária de visitantes, a duração das sessões e as taxas de opt-in para marketing, fornecendo à equipe de marketing os dados necessários para realizar campanhas direcionadas. Cenário dois: um bloco de apartamentos para aluguel de 40 unidades. O operador executa pontos de acesso GWN7630 com GWN Manager on-premises. Cada apartamento precisa de sua própria rede isolada. O operador usa PPSK com backend RADIUS. O Purple gerencia 40 credenciais exclusivas de inquilinos, cada uma mapeada para uma VLAN dedicada. Os residentes se conectam ao SSID único "BuildingConnect" usando a senha de sua unidade. O portal do Purple lida com o fluxo inicial de integração, captura o consentimento do residente e fornece ao operador análises de ocupação e dados de engajamento. Quando um residente se muda, o operador revoga sua credencial PPSK no console de administração do Purple, e o acesso é imediatamente encerrado. Não há necessidade de alterar a senha do SSID ou reconfigurar os APs. - Perguntas rápidas. Três perguntas que recebo constantemente sobre implantações Grandstream. Pergunta um: Posso usar o GWN dot Cloud em vez do GWN Manager para a integração com o Purple? Sim. A configuração do Captive Portal no GWN dot Cloud é funcionalmente idêntica à do GWN Manager. Os caminhos do menu são os mesmos. As configurações de RADIUS e walled garden estão nos mesmos locais. O GWN dot Cloud é a melhor escolha para MSPs que gerenciam vários sites, pois você obtém um painel de controle único em todas as implantações. Pergunta dois: O Purple suporta as análises nativas da Grandstream juntamente com as suas próprias? O Purple substitui as análises nativas do Captive Portal por seu próprio conjunto de dados mais detalhado. Você obtém contagem de sessões, tempos de permanência, taxas de opt-in, dados demográficos de campos de formulário e integração com plataformas de marketing. As análises nativas do GWN para desempenho de RF, integridade do AP e contagem de clientes continuam disponíveis no GWN Manager ou GWN dot Cloud ao lado das análises do portal do Purple. Pergunta três: Qual versão de firmware preciso nos APs GWN para PPSK com RADIUS? O PPSK com backend RADIUS requer o firmware GWN 1.0.19 ou superior na série GWN76xx. Verifique as notas de versão da Grandstream antes da implantação. Executar um firmware desatualizado é a causa mais comum de comportamento inesperado em implantações PPSK. - Para encerrar. Integrar os pontos de acesso Grandstream GWN com o Purple é uma implantação direta quando você segue a sequência correta. Configure as definições do seu servidor RADIUS na política do Captive Portal primeiro. Crie seu walled garden usando a ferramenta de geração de domínio do Purple. Associe a política ao seu SSID de convidados e ative o isolamento de clientes. Para o WiFi da equipe, ative o WPA2-Enterprise com atribuição dinâmica de VLAN. Para propriedades multi-inquilino, use PPSK com backend RADIUS e gerencie as credenciais centralmente através do Purple. As cinco coisas que você deve acertar: RADIUS no UDP 1812 com um segredo compartilhado correspondente; o walled garden cobrindo todos os domínios de ativos do portal; isolamento de clientes ativado no SSID de convidados; VLAN dinâmica ativada nas configurações do SSID; e firmware PPSK na versão 1.0.19 ou superior. Acerte esses cinco pontos e você terá uma implantação sólida e escalável que atenderá ao seu estabelecimento por anos. A equipe de onboarding da Purple pode validar sua configuração antes do go-live, e o uptime de 99,999% da plataforma significa que você não precisará explicar quedas de portal para os hóspedes do hotel às duas da manhã. Obrigado por ouvir. Para mais guias técnicos sobre integrações de WiFi corporativo, visite purple dot ai. No próximo episódio, cobriremos a atribuição dinâmica de VLAN com o Microsoft Entra ID e o recurso SecurePass da Purple. Até lá.