DrayTek Vigor e guest WiFi: configuração de captive portal com Purple

Bem-vindo ao Purple Integration Briefing. Hoje vamos analisar os routers DrayTek Vigor e os pontos de acesso VigorAP, e especificamente como integrá-los com o Purple WiFi. Este briefing destina-se a gestores de TI e arquitetos de rede que implementam redes de convidados, funcionários e multi-inquilino em locais de PME e de mercado médio. Vamos começar com o contexto. O hardware DrayTek é incrivelmente popular no retalho, hotelaria e unidades multi-residenciais porque oferece capacidades robustas de encaminhamento, VPN e rede sem fios a um preço competitivo. Ao emparelhar um router DrayTek Vigor com o Purple, transforma uma ligação normal à Internet numa Rede Baseada em Identidade. O Purple tem mais de 80.000 locais ativos e processa 440 milhões de inícios de sessão por ano. Nós fornecemos o Captive Portal, a análise e a camada de segurança. A DrayTek fornece a infraestrutura de borda fiável. Vamos entrar na análise técnica aprofundada. Como fazemos isto funcionar na prática? O núcleo da integração baseia-se na autenticação RADIUS e no redirecionamento externo do Captive Portal. Primeiro, a configuração do WiFi de Convidados. Irá configurar o router DrayTek Vigor como um gateway de Hotspot Web Portal. Na interface do DrayOS, em Applications e RADIUS, adiciona o IP do servidor RADIUS do Purple e o segredo partilhado. Depois, em Hotspot Web Portal, define o Portal Method para External Server e cola o seu URL de acesso específico do Purple. O router DrayTek intereta o tráfego de convidados, redireciona-o para a sobreposição de nuvem do Purple para autenticação e, em seguida, utiliza RADIUS para conceder o acesso. Um passo crítico aqui é o Walled Garden. Os convidados precisam de aceder aos servidores do Purple antes de serem autenticados. Deve configurar o separador Destination Domain no perfil do DrayTek Hotspot para permitir o tráfego para os domínios de autenticação do Purple. Se falhar este passo, a página splash simplesmente não irá carregar. Este é um dos erros mais comuns durante a implementação inicial. Agora, e quanto ao WiFi de Funcionários? Para um acesso seguro de funcionários, não se utiliza um Captive Portal. Utiliza a autenticação 802.1X, que é a norma IEEE para controlo de acesso à rede baseado em portas. Nas definições de Wireless LAN Security do DrayTek, seleciona WPA2 barra de fração 802.1X e aponta-o para o servidor RADIUS do Purple. Os dispositivos dos funcionários autenticam-se de forma transparente utilizando PEAP e MS-CHAPv2. Isto elimina completamente as palavras-passe partilhadas e permite-lhe revogar o acesso instantaneamente quando um funcionário sai. Não há necessidade de alterar uma palavra-passe em todo o local. Vamos falar sobre ambientes Multi-Tenant. Pense em alojamentos de estudantes, espaços de coworking ou concessões de retalho. Precisa de segmentação de rede. A DrayTek lida com isto com VLANs e Multiple PSK, também conhecido como PPSK ou Private Pre-Shared Key. Configura as VLANs no router DrayTek. Por exemplo, VLAN 10 para Convidados, VLAN 20 para Pessoal e VLAN 30 para Inquilinos. Usando a funcionalidade WPA2-PPSK da DrayTek nos VigorAPs, cada inquilino recebe uma frase-passe única. Quando se ligam, o ponto de acesso associa essa frase-passe ao seu endereço MAC e coloca-os na sua VLAN isolada. Isto significa que um inquilino de uma cafetaria no rés-do-chão de um hotel não consegue ver a rede interna do hotel, embora partilhem o mesmo ponto de acesso físico. A atribuição dinâmica de VLAN leva isto mais longe. O servidor RADIUS da Purple pode devolver atributos RADIUS específicos quando um utilizador se autentica. Estes são os atributos Tunnel-Type, Tunnel-Medium-Type e Tunnel-Private-Group-ID. O router DrayTek lê estes valores e atribui dinamicamente o cliente autenticado à VLAN correta. Isto é o Identity-Based Networking na prática: a rede adapta-se à identidade do utilizador, e não o contrário. Passando para as Recomendações de Implementação e Erros Comuns. Recomendação um: Use sempre um backhaul com fios para os seus VigorAPs. Os sistemas de distribuição sem fios, ou repetidores universais, não conseguem passar as etiquetas VLAN 802.1Q necessárias para uma segmentação de rede adequada. Se quer uma rede de convidados isolada da sua LAN interna, precisa de manter essas etiquetas VLAN intactas, o que significa um cabo Ethernet físico de cada ponto de acesso de volta ao router DrayTek ou a um switch gerido. Recomendação dois: Ative o AP-Assisted Mobility nos VigorAPs. Esta funcionalidade desassocia de forma inteligente os clientes com fraca intensidade de sinal, forçando-os a fazer roam para um ponto de acesso mais próximo. Resolve o problema do "sticky client" que afeta muitas implementações de PMEs. Num ambiente de retalho, um cliente que caminha da frente da loja para as traseiras deve transitar perfeitamente entre os pontos de acesso. Sem o AP-Assisted Mobility, o seu dispositivo pode agarrar-se ao ponto de acesso frontal, mesmo quando o sinal é fraco. Recomendação três: Planeie o seu esquema de numeração de VLAN antes de começar. Alterar os IDs de VLAN após a implementação requer a reconfiguração do router, de todos os pontos de acesso e, potencialmente, de quaisquer switches geridos no caminho. Documente o seu esquema de forma clara. O maior erro comum? Esquecer-se de reiniciar o router DrayTek após aplicar as configurações de RADIUS e Hotspot. O DrayOS requer um reinício para aplicar estas alterações específicas. Se ignorar isto, passará horas a tentar resolver problemas numa configuração que está na verdade correta, mas simplesmente ainda não está ativa. Isto está documentado no guia oficial de suporte da Purple para hardware DrayTek. Vamos fazer uma sessão rápida de Perguntas e Respostas. Pergunta: Posso usar o servidor RADIUS interno do router Vigor? Resposta: Pode para autenticação local 802.1X, mas para a integração com a Purple, deve utilizar os servidores RADIUS externos da Purple. É isto que permite a gestão centralizada de políticas e as análises que a Purple disponibiliza. Pergunta: O DrayTek suporta direcionamento dinâmico de VLAN via RADIUS? Resposta: Sim. O servidor RADIUS da Purple devolve os atributos Tunnel-Type e Tunnel-Private-Group-ID aquando da autenticação. O router DrayTek lê estes atributos e atribui dinamicamente o cliente à VLAN correta. Pergunta: O que acontece se o dispositivo iOS de um utilizador utilizar um endereço MAC privado com PPSK? Resposta: A autenticação irá falhar. O perfil PPSK associa-se a um endereço MAC específico. Deve instruir os utilizadores a desativar o Endereço WiFi Privado para a sua rede específica nas definições do iOS para garantir uma conectividade estável. Pergunta: Quais os modelos DrayTek suportados com a Purple? Resposta: Os modelos atualmente suportados incluem as séries 2862, 3220, 2926, 2952, 2765, 2865, 2866, 2927, 2962 e 3910. Consulte a documentação de suporte da Purple para obter a lista mais recente. Em resumo. O DrayTek e a Purple juntos oferecem-lhe um controlo de rede de nível empresarial a preços de PME. Utiliza o Captive Portal para convidados, 802.1X para funcionários e PPSK com VLANs para inquilinos. Mapeie as suas VLANs cuidadosamente, configure os seus walled gardens e reinicie sempre após aplicar as definições de RADIUS. Utilize backhaul com fios para os seus pontos de acesso, ative a AP-Assisted Mobility e planeie a randomização de MAC em dispositivos iOS. Obrigado por ouvir este briefing técnico. Configure o seu hardware e ver-nos-emos na plataforma Purple.