Mikrotik RouterOS e guest WiFi: configuração do Captive Portal com o Purple

Guia de Integração do Captive Portal do MikroTik RouterOS e Purple WiFi - Roteiro de Podcast [INTRO - aproximadamente 1 minuto] Bem-vindo. Se você gerencia infraestrutura de WiFi em um hotel, rede de varejo, estádio ou centro de convenções e está executando o MikroTik RouterOS, este episódio é para você. Vou orientar você sobre exatamente como integrar o Hotspot Gateway do MikroTik com a plataforma de guest WiFi da Purple - cobrindo três casos de uso distintos: WiFi para convidados com um captive portal e walled garden, WiFi seguro para funcionários usando 802.1X e segregação de rede multi-tenant usando o recurso de Private Pre-Shared Key do MikroTik. Esta não é uma visão geral teórica. Ao final deste episódio, você terá os comandos de CLI específicos, atributos RADIUS e a lógica de configuração que você precisa para implantar ou auditar essas configurações por conta própria. Vamos começar. [DEEP-DIVE TÉCNICO - aproximadamente 5 minutos] Parte um: WiFi para convidados e o captive portal do MikroTik. O Hotspot Gateway do MikroTik é o mecanismo por trás do redirecionamento do guest WiFi no RouterOS. Quando um visitante se conecta ao seu SSID de convidados, o Hotspot Gateway intercepta o tráfego HTTP dele e o redireciona para uma splash page - que é o seu captive portal. A Purple hospeda essa splash page. O seu roteador MikroTik atua como o Hotspot Gateway e cliente RADIUS. A plataforma da Purple atua como o servidor RADIUS. Veja como configurá-lo. Primeiro, execute o assistente de Hotspot Setup no menu IP no Winbox ou via CLI. Você o atribuirá à sua interface voltada para os convidados - normalmente uma interface VLAN ou uma porta bridge. Defina seu pool de endereços local, configure seus servidores DNS e dê ao hotspot um nome DNS. Esse nome DNS é o que os convidados veem em seus navegadores antes de se autenticarem. Assim que o assistente for concluído, você precisa apontar o perfil do hotspot para o servidor RADIUS da Purple. Na CLI, o comando é assim: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Em seguida, habilite o RADIUS no perfil do hotspot: /ip hotspot profile set default use-radius=yes A Purple fornecerá o endereço IP do RADIUS, a chave secreta compartilhada e a URL da splash page quando você configurar o seu local no painel da Purple. Agora, o walled garden. Isso é crítico. Antes de um convidado se autenticar, o dispositivo dele precisa conseguir alcançar a splash page da Purple e quaisquer provedores OAuth que você esteja usando - Google, Facebook e assim por diante. Sem as entradas de walled garden, o loop de redirecionamento quebra e os convidados não conseguem fazer o login. No RouterOS, você adiciona entradas de walled garden em IP, Hotspot, Walled Garden. Você precisa adicionar o domínio da splash page da Purple, todos os domínios de login social e todos os hosts CDN que servem os recursos da página de login. A documentação da Purple lista os domínios exatos para a sua região. Adicione-os como entradas de IP ou de nome de host - as entradas de nome de host são mais resilientes quando os endereços IP mudam. Os principais atributos RADIUS que o Purple retorna em uma autenticação bem-sucedida incluem o tempo limite da sessão, que controla quanto tempo um convidado permanece conectado antes de ser solicitado novamente, e opcionalmente um limite de taxa de largura de banda usando o atributo específico do fornecedor Mikrotik-Rate-Limit. Isso permite que você aplique políticas de uso justo por sessão de convidado diretamente do painel do Purple sem tocar na configuração do roteador. Parte dois: WiFi seguro para funcionários com 802.1X. É aqui que você se afasta completamente das senhas compartilhadas. O IEEE 802.1X é o padrão para controle de acesso à rede baseado em porta. Em uma interface sem fio MikroTik, você habilita a autenticação WPA2-Enterprise ou WPA3-Enterprise, o que significa que o ponto de acesso se torna um autenticador - ele passa as credenciais EAP do dispositivo do funcionário para um servidor RADIUS, que as valida e retorna um Access-Accept ou Access-Reject. O produto Staff WiFi do Purple se integra com Microsoft Entra ID, Okta, e Google Workspace como provedores de identidade. Quando o dispositivo de um funcionário se conecta, ele apresenta um certificado ou nome de usuário e senha via PEAP-MSCHAPv2. O servidor RADIUS do Purple valida essa credencial com seu provedor de identidade em tempo real. No lado do MikroTik, você configura o perfil de segurança sem fio com os tipos de autenticação definidos como wpa2-eap, e aponta o cliente RADIUS para o servidor do Purple com service=wireless. No CAPsMAN - que é o sistema de gerenciamento centralizado de pontos de acesso do MikroTik - você define isso no nível de configuração de segurança para que se aplique a todos os seus pontos de acesso gerenciados de forma consistente. O servidor RADIUS pode retornar o atributo Mikrotik-Wireless-VLANID para colocar os funcionários autenticados em uma VLAN específica. É assim que você aplica a segmentação de rede - a equipe de finanças vai para a VLAN 10, operações para a VLAN 20, e assim por diante - tudo a partir de um único SSID, tudo impulsionado pela identidade. Para revogação automática - quando um funcionário sai - a integração do Purple com seu provedor de identidade significa que quando você desativa a conta no Entra ID ou Okta, a próxima tentativa de autenticação falha e o dispositivo é desconectado. Não são necessárias alterações manuais na configuração do roteador. Parte três: WiFi multi-inquilino com chaves pré-compartilhadas privadas. Este é o mais interessante do ponto de vista arquitetônico dos três. O Private PSK - às vezes chamado de PPSK ou iPSK - permite que você execute um único SSID onde cada inquilino, residente ou grupo de dispositivos se conecta com uma senha exclusiva, e cada senha é mapeada para uma VLAN diferente. No MikroTik, isso funciona por meio de autenticação RADIUS baseada em MAC na interface sem fio. Quando um dispositivo se conecta, o ponto de acesso envia o endereço MAC do dispositivo para o servidor RADIUS como o nome de usuário. O servidor RADIUS - seja o próprio User Manager da MikroTik no RouterOS 7, ou o FreeRADIUS - procura esse endereço MAC e retorna dois atributos específicos do fornecedor: Mikrotik-Wireless-Psk, que é a senha por dispositivo, e Mikrotik-Wireless-VLANID, que coloca o dispositivo na VLAN correta. O perfil de segurança wireless precisa ter a opção radius-mac-authentication definida como yes, e o cliente RADIUS precisa de service=wireless. Na prática, para um condomínio residencial com 200 apartamentos, você pré-cadastraria os endereços MAC de cada dispositivo dos moradores na plataforma da Purple quando eles se mudarem. A Purple mapeia cada MAC para uma PSK exclusiva e uma VLAN correspondente ao segmento de rede daquele apartamento. O morador se conecta usando a senha do seu próprio apartamento. Seus dispositivos entram em uma VLAN isolada. Os dispositivos dos vizinhos estão em uma VLAN completamente separada. Nenhum dos dois consegue visualizar o tráfego do outro. Para dispositivos que não oferecem suporte a 802.1X - smart TVs, consoles de videogame, dispositivos IoT - esta abordagem é a alternativa prática. O dispositivo só precisa suportar WPA2-PSK, o que é compatível com praticamente tudo. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Deixe-me apresentar os quatro problemas que ocorrem com mais frequência nessas implantações. Primeiro: falhas no walled garden. Se a splash page da Purple não carregar, verifique as entradas do seu walled garden. O culpado mais comum é a falta de um domínio de CDN ou um redirecionamento de login social que não esteja na lista de permissões. Use a ferramenta torch do MikroTik ou o packet sniffer para observar quais consultas de DNS estão sendo bloqueadas antes da autenticação. Segundo: incompatibilidade de tempos limite de RADIUS. O tempo limite padrão do RADIUS no MikroTik é de 1.100 milissegundos. Se o servidor RADIUS da Purple estiver geograficamente distante ou se o caminho de rede apresentar latência, você verá falhas de autenticação intermitentes. Aumente o tempo limite para 3.000 milissegundos e configure um servidor RADIUS de backup para garantir a resiliência. Terceiro: filtragem de VLAN não habilitada na bridge. A atribuição dinâmica de VLAN via RADIUS só funciona se a filtragem de VLAN da bridge estiver habilitada. Este é um requisito do RouterOS. Se você estiver vendo todos os clientes entrarem na VLAN padrão, independentemente do que o RADIUS retorna, verifique se vlan-filtering=yes está configurado na sua interface de bridge. Quarto: incompatibilidade de versão do CAPsMAN. Se você estiver executando uma mistura de pontos de acesso gerenciados pelo CAPsMAN versão 2 e versão 3, o comportamento de marcação de VLAN pode variar. Padronize para o RouterOS 7 com o CAPsMAN versão 3 em todo o seu parque de APs antes de implantar recursos de VLAN dinâmica. Uma recomendação de arquitetura: execute o tráfego de convidados, funcionários e gerenciamento em VLANs separadas desde o primeiro dia, mesmo que não esteja utilizando todos os três casos de uso da Purple imediatamente. Fazer a adequação retroativa de segmentação de VLAN em uma rede flat é significativamente mais complexo do que criá-la desde o início. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Posso usar o User Manager integrado do MikroTik em vez de um servidor RADIUS externo? Sim, para implantações menores. O User Manager no RouterOS 7 oferece suporte a PEAP-MSCHAPv2 para wireless 802.1X e pode retornar o atributo Mikrotik-Wireless-VLANID. Para implantações de produção com a Purple, você usará a infraestrutura de RADIUS hospedada da Purple, que gerencia a integração com provedores de identidade e o controle de sessões para você. A Purple oferece suporte ao MikroTik CAPsMAN? Sim. A Purple é agnóstica em relação ao hardware. A integração funciona no nível de RADIUS e redirecionamento de hotspot, por isso é compatível com pontos de acesso MikroTik autônomos e implantações gerenciadas por CAPsMAN igualmente. Qual versão do RouterOS eu preciso? O RouterOS 7.x é recomendado para todos os três casos de uso abordados neste guia. A atribuição dinâmica de VLAN via RADIUS sem fio e o User Manager atualizado são recursos do RouterOS 7. O RouterOS 6.x suporta hotspot e autenticação RADIUS básica, mas carece de alguns dos recursos de VLAN sem fio. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Para resumir: o MikroTik RouterOS oferece três pontos de integração distintos com a Purple. O Hotspot Gateway lida com o redirecionamento de WiFi de convidados e a autenticação do Captive Portal. A configuração sem fio 802.1X com RADIUS lida com WiFi seguro para funcionários com acesso baseado em identidade. E a autenticação RADIUS baseada em MAC com Private PSK lida com a segregação de rede multi-tenant para propriedades residenciais e de uso misto. O elemento comum em todos os três é o RADIUS. Configure corretamente o seu cliente RADIUS - IP correto, segredo compartilhado correto, tipo de serviço correto, tempo limite correto - e o restante funcionará naturalmente. Seus próximos passos: faça login no painel da Purple, navegue até a configuração do local e obtenha suas credenciais RADIUS. Em seguida, siga os comandos CLI no guia escrito para configurar seu perfil de hotspot, seu perfil de segurança sem fio e suas entradas de walled garden. Teste com um único ponto de acesso antes de implementar em toda a sua rede. Se você estiver implantando isso em escala - vários locais, centenas de pontos de acesso - a equipe de Serviços Profissionais da Purple pode apoiar a implementação. A Purple opera em mais de 80.000 locais ativos globalmente, com 99,999% de uptime, e é certificada nas normas ISO 27001, GDPR e Cyber Essentials. Obrigado por nos acompanhar. O guia escrito completo com todos os comandos CLI, tabelas de atributos RADIUS e exemplos práticos está no link das notas do episódio.