Guia de Integração do Captive Portal MikroTik RouterOS e Purple WiFi

Guia de Integração do Captive Portal MikroTik RouterOS e Purple WiFi - Roteiro do Podcast [INTRODUÇÃO - aproximadamente 1 minuto] Bem-vindo. Se você gerencia infraestrutura de WiFi em um hotel, rede de varejo, estádio ou centro de convenções e utiliza o MikroTik RouterOS, este episódio é para você. Vou orientá-lo exatamente sobre como integrar o Hotspot Gateway da MikroTik com a plataforma de guest WiFi da Purple — cobrendo três casos de uso distintos: guest WiFi com um Captive Portal e walled garden, Staff WiFi seguro usando 802.1X e segregação de rede multi-tenant usando o recurso Private Pre-Shared Key da MikroTik. Esta não é uma visão geral teórica. Ao final deste episódio, você terá os comandos de CLI específicos, atributos RADIUS e a lógica de configuração necessários para implantar ou auditar essas configurações por conta própria. Vamos começar. [APROFUNDAMENTO TÉCNICO - aproximadamente 5 minutos] Parte um: Guest WiFi e o Captive Portal do MikroTik. O Hotspot Gateway da MikroTik é o mecanismo por trás do redirecionamento de guest WiFi no RouterOS. Quando um visitante se conecta ao seu SSID de convidados, o Hotspot Gateway intercepta o tráfego HTTP e o redireciona para uma splash page — esse é o seu Captive Portal. O Purple hospeda essa splash page. Seu roteador MikroTik atua como o Hotspot Gateway e cliente RADIUS. A plataforma do Purple atua como o servidor RADIUS. Veja como configurá-lo. Primeiro, execute o assistente de Hotspot Setup no menu IP no Winbox ou via CLI. Você o atribuirá à sua interface voltada para os visitantes — normalmente uma interface VLAN ou uma porta de bridge. Defina seu pool de endereços locais, configure seus servidores DNS e dê um nome de DNS ao hotspot. Esse nome de DNS é o que os visitantes veem em seus navegadores antes de se autenticarem. Assim que o assistente for concluído, você precisará apontar o perfil do hotspot para o servidor RADIUS do Purple. Na CLI, fica assim: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Em seguida, habilite o RADIUS no perfil do hotspot: /ip hotspot profile set default use-radius=yes O Purple fornecerá o endereço IP do RADIUS, o segredo compartilhado (shared secret) e a URL da splash page quando você configurar seu local no painel do Purple. Agora, o walled garden. Isso é crítico. Antes que um visitante se autentique, seu dispositivo precisa ser capaz de alcançar a splash page do Purple e quaisquer provedores de OAuth que você esteja usando — Google, Facebook e assim por diante. Sem as entradas de walled garden, o loop de redirecionamento é quebrado e os visitantes não conseguem fazer login. No RouterOS, você adiciona entradas de walled garden em IP, Hotspot, Walled Garden. Você precisa adicionar o domínio da splash page do Purple, quaisquer domínios de login social e quaisquer hosts de CDN que servem os recursos da página de login. A documentação do Purple lista os domínios exatos para a sua região. Adicione-os como entradas de IP ou de hostname — as entradas de hostname são mais resilientes quando os endereços IP mudam. Os principais atributos RADIUS que o Purple retorna em uma autenticação bem-sucedida incluem o tempo limite da sessão (session timeout), que controla quanto tempo um visitante permanece conectado antes de ser solicitado novamente, e, opcionalmente, um limite de largura de banda usando o atributo específico do fabricante Mikrotik-Rate-Limit. Isso permite que você aplique políticas de uso justo por sessão de visitante diretamente do painel do Purple, sem tocar na configuração do roteador. Parte dois: Staff WiFi seguro com 802.1X. É aqui que você deixa de lado as senhas compartilhadas por completo. O IEEE 802.1X é o padrão para controle de acesso à rede baseado em porta. Em uma interface sem fio MikroTik, você habilita a autenticação WPA2-Enterprise ou WPA3-Enterprise, o que significa que o ponto de acesso se torna um autenticador — ele passa as credenciais EAP do dispositivo do funcionário para um servidor RADIUS, que as valida e retorna um Access-Accept ou Access-Reject. O produto Staff WiFi da Purple se integra ao Microsoft Entra ID, Okta e Google Workspace como provedores de identidade. Quando o dispositivo de um funcionário se conecta, ele apresenta um certificado ou nome de usuário e senha via PEAP-MSCHAPv2. O servidor RADIUS do Purple valida essa credencial em relação ao seu provedor de identidade em tempo real. No lado do MikroTik, você configura o perfil de segurança sem fio com authentication-types definido como wpa2-eap e aponta o cliente RADIUS para o servidor do Purple com service=wireless. No CAPsMAN — que é o sistema de gerenciamento centralizado de pontos de acesso da MikroTik — você define isso no nível de configuração de segurança para que se aplique de forma consistente em todos os seus pontos de acesso gerenciados. O servidor RADIUS pode retornar o atributo Mikrotik-Wireless-VLANID para colocar os funcionários autenticados em uma VLAN específica. É assim que você impõe a segmentação de rede — a equipe de finanças vai para a VLAN 10, a de operações para a VLAN 20 e assim por diante — tudo a partir de um único SSID, tudo baseado em identidade. A integração do Purple com seu provedor de identidade significa que, ao desativar a conta no Entra ID ou Okta, a próxima tentativa de autenticação falhará e o dispositivo será desconectado. Nenhuma alteração manual de configuração no roteador é necessária. Parte três: WiFi Multi-Tenant com Private Pre-Shared Keys. Este é o caso mais interessante do ponto de vista arquitetônico. O Private PSK — às vezes chamado de PPSK ou iPSK — permite que você execute um único SSID onde cada inquilino, morador ou grupo de dispositivos se conecta com uma senha exclusiva, e cada senha é mapeada para uma VLAN diferente. No MikroTik, isso funciona por meio de autenticação RADIUS baseada em MAC na interface sem fio. Quando um dispositivo se conecta, o ponto de acesso envia o endereço MAC do dispositivo para o servidor RADIUS como o nome de usuário. O servidor RADIUS — seja o próprio User Manager da MikroTik no RouterOS 7 ou o FreeRADIUS — busca esse endereço MAC e retorna dois atributos específicos do fabricante: Mikrotik-Wireless-Psk, que é a senha por dispositivo, e Mikrotik-Wireless-VLANID, que coloca o dispositivo na VLAN correta. O perfil de segurança sem fio precisa de radius-mac-authentication definido como yes, e o cliente RADIUS precisa de service=wireless. Na prática, para um empreendimento build-to-rent com 200 apartamentos, você pré-registraria os endereços MAC dos dispositivos de cada morador na plataforma do Purple quando eles se mudassem. O Purple mapeia cada MAC para um PSK exclusivo e uma VLAN correspondente ao segmento de rede daquele apartamento. O morador se conecta usando a senha do seu apartamento. Seus dispositivos entram em uma VLAN isolada. Os dispositivos do vizinho ficam em uma VLAN completamente separada. Nenhum deles consegue ver o tráfego do outro. Para dispositivos que não oferecem suporte a 802.1X — smart TVs, consoles de videogame, dispositivos IoT —, essa abordagem é a alternativa prática. O dispositivo só precisa suportar WPA2-PSK, o que praticamente todos fazem. [RECOMENDAÇÕES DE IMPLANTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Deixe-me apresentar as quatro coisas que mais costumam dar errado nessas implantações. Primeiro: falhas no walled garden. Se a splash page do Purple não carregar, verifique suas entradas de walled garden. O culpado mais comum é um domínio de CDN ausente ou um redirecionamento de login social que não está na lista de permissões. Use a ferramenta torch do MikroTik ou o packet sniffer para observar quais consultas DNS estão sendo bloqueadas antes da autenticação. Segundo: divergências de tempo limite (timeout) do RADIUS. O tempo limite padrão do RADIUS no MikroTik é de 1.100 milissegundos. Se o servidor RADIUS do Purple estiver geograficamente distante ou o caminho da rede apresentar latência, você verá falhas de autenticação intermitentes. Aumente o tempo limite para 3.000 milissegundos e configure um servidor RADIUS de backup para maior resiliência. Terceiro: filtro de VLAN não habilitado na bridge. A atribuição dinâmica de VLAN via RADIUS só funciona se o filtro de VLAN da bridge estiver habilitado. Este é um requisito do RouterOS. Se você estiver vendo todos os clientes entrarem na VLAN padrão, independentemente do que o RADIUS retorna, verifique se vlan-filtering=yes está definido na sua interface de bridge. Quarto: incompatibilidade de versão do CAPsMAN. Se você estiver executando uma mistura de pontos de acesso gerenciados pelo CAPsMAN versão 2 e versão 3, o comportamento de marcação de VLAN pode diferir. Padronize no RouterOS 7 com CAPsMAN versão 3 em todo o seu parque de APs antes de implantar recursos de VLAN dinâmica. Uma recomendação de arquitetura: execute o tráfego de visitantes, funcionários e gerenciamento em VLANs separadas desde o primeiro dia, mesmo que você não esteja usando todos os três casos de uso do Purple imediatamente. Adaptar a segmentação de VLAN em uma rede plana posteriormente é significativamente mais disruptivo do que construí-la dessa forma desde o início. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Posso usar o User Manager integrado do MikroTik em vez de um servidor RADIUS externo? Sim, para implantações menores. O User Manager no RouterOS 7 suporta PEAP-MSCHAPv2 para 802.1X sem fio e pode retornar o atributo Mikrotik-Wireless-VLANID. Para implantações de produção com o Purple, você usará a infraestrutura RADIUS hospedada do Purple, que cuida da integração com o provedor de identidade e do gerenciamento de sessões para você. O Purple suporta o MikroTik CAPsMAN? Sim. O Purple é agnóstico em relação ao hardware. A integração funciona no nível de redirecionamento de hotspot e RADIUS, portanto, é compatível tanto com pontos de acesso MikroTik autônomos quanto com implantações gerenciadas pelo CAPsMAN. Qual versão do RouterOS eu preciso? O RouterOS 7.x é recomendado para todos os três casos de uso abordados neste guia. A atribuição dinâmica de VLAN via RADIUS sem fio e o User Manager atualizado são recursos do RouterOS 7. O RouterOS 6.x suporta hotspot e autenticação RADIUS básica, mas carece de alguns dos recursos de VLAN sem fio. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Para resumir: o MikroTik RouterOS oferece três pontos de integração distintos com o Purple. O Hotspot Gateway lida com o redirecionamento de guest WiFi e autenticação de Captive Portal. A configuração de 802.1X sem fio com RADIUS lida com o Staff WiFi seguro com acesso baseado em identidade. E a autenticação RADIUS baseada em MAC com Private PSK lida com a segregação de rede multi-tenant para propriedades residenciais e de uso misto. O elemento comum em todos os três é o RADIUS. Configure corretamente o seu cliente RADIUS — IP correto, segredo compartilhado correto, tipo de serviço correto, tempo limite correto — e o resto acontece naturalmente. Seus próximos passos: faça login no painel do Purple, navegue até a configuração do local e obtenha suas credenciais RADIUS. Em seguida, siga os comandos de CLI no guia escrito para configurar seu perfil de hotspot, seu perfil de segurança sem fio e suas entradas de walled garden. Teste com um único ponto de acesso antes de implantar em todo o seu parque. Se você estiver implantando isso em escala — vários locais, centenas de pontos de acesso —, a equipe de Serviços Profissionais do Purple pode apoiar a implantação. O Purple opera em mais de 80.000 locais ativos globalmente, com 99,999% de tempo de atividade, e é certificado pelas normas ISO 27001, GDPR e Cyber Essentials. Obrigado por ouvir. O guia escrito completo com todos os comandos de CLI, tabelas de atributos RADIUS e exemplos práticos está no link das notas do programa.