Grandstream GWN and guest WiFi: captive portal setup with Purple

Bem-vindo à série de Resumos Técnicos da Purple. Sou o seu anfitrião e hoje vamos abordar um padrão de implementação que se está a tornar cada vez mais comum nos setores da hotelaria, retalho e propriedades multi-tenant: a integração de access points Grandstream GWN com a plataforma de guest WiFi da Purple. Se é um MSP, uma equipa de TI interna ou um arquiteto de rede a quem foi confiada uma implementação Grandstream GWN e lhe foi pedido para adicionar um Captive Portal personalizado com analítica, este episódio é para si. Vamos cobrir toda a infraestrutura: redirecionamento de splash page de convidados, configuração de walled garden, WiFi seguro para colaboradores usando 802.1X e segmentação multi-tenant usando a funcionalidade Private Pre-Shared Key da Grandstream. Vamos a isso. - Primeiro, algum contexto. A série GWN da Grandstream é uma gama sólida de access points para o mercado de média dimensão. Temos o GWN7600 e o GWN7630 para implementações em ambientes fechados, o GWN7660 e o GWN7664 para ambientes Wi-Fi 6 e o GWN7610 como uma opção de montagem no teto para espaços de maior densidade. São geridos através do GWN Manager, que é um controlador local que se instala num servidor Linux ou Windows, ou através do GWN dot Cloud, que é a plataforma de gestão alojada na nuvem da Grandstream, agora designada como GDMS Networking. A boa notícia para os MSPs é que ambas as plataformas de gestão suportam a configuração de Captive Portal de forma nativa. Pode criar a política de portal, personalizar a splash page e associá-la a um SSID inteiramente dentro do GWN Manager ou do GWN dot Cloud. Mas para implementações empresariais onde precisa de captura de dados em conformidade com o GDPR, automação de marketing e analítica em tempo real, irá substituir esse portal nativo por uma plataforma externa. É aí que entra a Purple. A Purple funciona como uma sobreposição na nuvem. Fica posicionada acima do seu hardware e fornece o Captive Portal, a camada de autenticação RADIUS, o motor de analítica e as ferramentas de marketing. A Purple suporta 80.000 locais ativos e processou 440 milhões de inícios de sessão apenas em 2024, pelo que a plataforma está mais do que comprovada à escala. A integração com o Grandstream GWN segue a mesma abordagem baseada em normas que a Purple utiliza em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e Ubiquiti UniFi. - Vamos entrar na arquitetura técnica. O fluxo de guest WiFi no Grandstream GWN com a Purple funciona da seguinte forma. Um convidado liga-se ao seu SSID de convidados. O seu dispositivo envia um pedido HTTP para qualquer website. O access point GWN intercepta esse pedido e emite um redirecionamento HTTP 302 para o URL do portal da Purple. O convidado acede à sua splash page personalizada, alojada pela Purple. Autentica-se, seja por e-mail, início de sessão social, verificação por SMS ou um formulário personalizado. A plataforma da Purple valida essa autenticação, regista o consentimento e os dados em conformidade com o GDPR e, em seguida, envia um RADIUS Access-Accept de volta para o access point GWN. O AP concede acesso à internet. Todo o fluxo demora cerca de três a cinco segundos desde a ligação até ao acesso à internet.Agora, os componentes principais de configuração do lado da Grandstream são: a política de Captive Portal, as definições da splash page, o walled garden e a associação de SSID. Deixe-me explicar cada um deles. --- Passo um: configurar a política de Captive Portal no GWN Manager ou GWN dot Cloud. Navegue até Captive Portal, depois Policy List, e crie uma nova política. Atribua-lhe um nome descritivo, algo como "Purple-Guest-Portal". Defina o Authentication Type para RADIUS Server. Verá então os campos para RADIUS Server Address, RADIUS Server Port e RADIUS Server Secret. Insira o endereço IP do servidor RADIUS da Purple e a porta 1812 para autenticação. O seu shared secret é obtido na consola de administração do portal Purple, na secção de configuração de hardware do local. Defina o RADIUS Authentication Method para PAP, que é o método que o fluxo de Captive Portal da Purple utiliza. Em Landing Page, defina como Redirect to External Page e insira o URL de redirecionamento do portal Purple. Este é o URL para o qual os convidados serão enviados quando se ligarem pela primeira vez. Mais uma vez, este URL é obtido na sua consola de administração Purple. Defina o Expiration time para corresponder à política de sessão do seu local. Para um hotel, 24 horas é o habitual. Para um centro de conferências, pode definir para a duração do evento. Para um ambiente de retalho, duas a quatro horas é o comum. Ative o Failsafe Mode. Isto é importante. Se o ponto de acesso GWN não conseguir contactar o servidor RADIUS da Purple, o failsafe mode concede acesso à internet de qualquer forma, em vez de bloquear todos os convidados. Para a maioria das implementações de hotelaria e retalho, uma breve falha no RADIUS não deve resultar na perda de conectividade de todos os convidados. --- Passo dois: configurar o walled garden. O walled garden é a lista de domínios e endereços IP aos quais os convidados podem aceder antes de se autenticarem através do portal. Se errar nesta configuração, os convidados verão uma página em branco ou um portal com falhas, e culparão o WiFi. No GWN Manager, o walled garden é configurado na política de Captive Portal como Pre-Authentication Rules. Adicione os seguintes domínios como regras de permissão: o domínio do portal Purple, que é portal dot purple dot ai; quaisquer domínios de CDN dos quais a splash page da Purple carregue recursos, incluindo cloudfront dot net utilizando uma entrada wildcard; o endpoint de deteção de Captive Portal da Apple, captive dot apple dot com; e o endpoint de verificação de conectividade da Google, connectivitycheck dot gstatic dot com. O portal de suporte da Purple tem um gerador dinâmico de walled garden em support dot purple dot ai. Selecione Grandstream na lista de hardware, escolha os seus métodos de autenticação e este gera a lista exata de domínios de que necessita. Utilize essa lista. Não tente criá-la manualmente do zero. Uma decisão que precisa de tomar: inclui captive dot apple dot com no walled garden ou não? Se o incluir, os dispositivos iOS não apresentarão o mini-browser do Captive Network Assistant automaticamente. Os convidados terão de abrir um browser manualmente para aceder ao portal. Se o excluir, o iOS aciona o mini-browser automaticamente quando o dispositivo se liga. Para a maioria das implementações em hotelaria, pretende que o mini-browser apareça, por isso deixe o captive dot apple dot com fora do walled garden. --- Passo três: configure o SSID. No GWN Manager, navegue até SSID e edite o seu SSID de convidados. Ative o Captive Portal e selecione a política que acabou de criar. Defina o SSID para WPA2-Personal com uma palavra-passe aberta simples, ou configure-o como um SSID aberto se o seu espaço preferir essa abordagem. A segurança neste fluxo provém da autenticação do portal, não da palavra-passe do WiFi. Ative o Client Isolation. Isto impede que os convidados vejam os dispositivos uns dos outros na rede. É um requisito básico de segurança e uma consideração PCI-DSS se o seu espaço processar pagamentos com cartão na mesma infraestrutura. Atribua o SSID à sua VLAN de convidados. A VLAN 10 é uma convenção comum para o tráfego de convidados. Certifique-se de que o seu comutador e router upstream estão configurados para encaminhar essa VLAN para a internet com as regras de firewall adequadas. --- Agora vamos falar sobre o WiFi para Funcionários utilizando o 802.1X. O IEEE 802.1X é a norma para controlo de acesso à rede baseado em portas. Para o WiFi de funcionários, este substitui a chave pré-partilhada por credenciais por utilizador, validadas num fornecedor de identidade. Quando um funcionário se liga, o ponto de acesso GWN atua como o autenticador, o seu dispositivo é o suplicante e o servidor RADIUS da Purple é o servidor de autenticação. No GWN Manager, crie um SSID separado para os funcionários. Defina o Modo de Segurança para WPA2-Enterprise, o que ativa o 802.1X. Configure as definições do servidor RADIUS com o IP do RADIUS da Purple, a porta 1812 e o seu segredo partilhado. Ative o RADIUS Accounting na porta 1813 para obter um registo de auditoria completo de quem se ligou, quando e por quanto tempo. Este registo de auditoria é o que necessita para a conformidade com o GDPR e para responder a quaisquer incidentes de segurança. Para o método EAP, tem duas opções principais. O EAP-TLS utiliza certificados digitais tanto no servidor como no dispositivo do cliente. É a opção mais segura, mas requer uma plataforma de Gestão de Dispositivos Móveis para enviar os certificados para os dispositivos dos funcionários. Se tiver o Microsoft Intune ou o Jamf, o EAP-TLS é a escolha certa. O PEAP, que significa Protected EAP, utiliza um nome de utilizador e palavra-passe dentro de um túnel TLS encriptado. É mais fácil de implementar, particularmente para ambientes BYOD, mas deve garantir que os funcionários são formados para não aceitar avisos de certificados. Um ponto de acesso não autorizado pode recolher credenciais PEAP se os utilizadores ignorarem os erros de certificado clicando neles. Ative a atribuição de VLAN dinâmica nas definições do SSID. Quando esta opção está ativa, o servidor RADIUS pode retornar um ID de VLAN no pacote Access-Accept, e o GWN AP colocará o dispositivo de ligação nessa VLAN. Isto significa que pode ter um único SSID de funcionários, mas segmentar automaticamente os funcionários de TI na VLAN 20, a gestão na VLAN 21 e os dispositivos de ponto de venda na VLAN 40, tudo com base na identidade do utilizador no diretório da Purple. Os atributos RADIUS para VLAN dinâmica são: Tunnel-Type definido como VLAN, que é o valor de atributo 13; Tunnel-Medium-Type definido como IEEE-802, que é o valor de atributo 6; e Tunnel-Private-Group-ID definido como o número da VLAN em formato de string. Estes três atributos no pacote Access-Accept são tudo o que o GWN AP necessita para encaminhar o dispositivo para a VLAN correta. - - - Agora, abordemos a funcionalidade que é particularmente relevante para propriedades multi-inquilino: as Grandstream Private Pre-Shared Keys, ou PPSK. O PPSK é um mecanismo que permite que um único SSID suporte múltiplos códigos exclusivos, cada um mapeado para uma VLAN ou política de rede diferente. Pense num bloco de apartamentos para arrendamento, num espaço de co-working ou num edifício de escritórios partilhados. Pretende um único SSID visível para todos, mas cada inquilino recebe o seu próprio código que o coloca no seu próprio segmento de rede isolado. No GWN Manager, o PPSK é configurado nas definições de SSID. Defina o Modo de Segurança para WPA2-Personal e, em seguida, ative o PPSK. Pode depois criar entradas PSK individuais, cada uma com um código exclusivo e um ID de VLAN associado. Quando um dispositivo se liga utilizando o código do Inquilino A, o AP coloca-o na VLAN 31. Quando um dispositivo utiliza o código do Inquilino B, entra na VLAN 32. Os inquilinos partilham o mesmo SSID, mas estão completamente isolados uns dos outros na camada de rede. Para implementações de maior dimensão, a Grandstream também suporta PPSK com backend RADIUS. Neste modo, o AP envia a PSK como um atributo RADIUS para o servidor de autenticação, que a valida e retorna a atribuição de VLAN apropriada. É aqui que a funcionalidade Identity-Based Networks da Purple se integra diretamente. A Purple pode gerir a base de dados PPSK, validar chaves face ao seu diretório e retornar atribuições de VLAN dinâmicas, proporcionando-lhe uma gestão centralizada de centenas de credenciais de inquilinos a partir de uma única plataforma. O atributo RADIUS utilizado para a validação de PPSK é normalmente o atributo Tunnel-Password, ou um atributo específico do fabricante, dependendo da versão do firmware. Verifique as notas de lançamento da Grandstream para o seu firmware específico, uma vez que o mapeamento de atributos tem evoluído ao longo das versões do GWN Manager. - - - Deixe-me abranger os dois modos de falha mais comuns que vejo nas implementações da Grandstream com portais externos. O primeiro é o redirecionamento que não funciona. Um convidado liga-se ao SSID, abre um navegador e recebe um erro de "o site não pode ser contactado" em vez da página do portal. A causa mais provável é uma configuração incorreta do walled garden. A própria página do portal está a ser bloqueada antes da autenticação. Abra as ferramentas de programador do seu navegador num dispositivo de teste ligado ao SSID de convidados, consulte o separador de rede e identifique quais as solicitações que estão a falhar. Adicione esses domínios às suas regras de pré-autenticação. O segundo modo de falha é o timeout do RADIUS. O AP envia um Access-Request para o servidor RADIUS da Purple e não obtém resposta. Isto geralmente significa que uma firewall está a bloquear a porta UDP 1812 de saída da VLAN de gestão do AP para a gama de IPs RADIUS da Purple. Verifique as suas regras de firewall. Os endereços IP do RADIUS da Purple estão documentados na consola de administração da Purple em definições do local. Certifique-se de que os IPs RADIUS primário e secundário são permitidos. Um terceiro que vale a pena mencionar: VLAN dinâmica não funciona. Os funcionários ligam-se e vão parar à VLAN errada. A causa mais comum é a opção Ativar VLAN Dinâmica não estar selecionada nas definições de SSID no GWN Manager. É uma caixa de seleção única que é fácil de esquecer. A segunda causa é uma incompatibilidade de segredo partilhado. Se o segredo partilhado no AP não corresponder ao configurado na Purple, o AP descarta silenciosamente a resposta RADIUS e reverte para a VLAN predefinida. - Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto. Cenário um: um hotel com 120 quartos. O hotel utiliza pontos de acesso GWN7660 geridos através do GWN dot Cloud. Precisam de um portal de convidados de marca própria para os hóspedes, uma rede de funcionários segura para a receção e limpeza, e uma VLAN de gestão separada para o sistema de gestão de propriedade. A configuração utiliza três SSIDs: Guest WiFi na VLAN 10 com a política de Captive Portal da Purple; Staff WiFi na VLAN 20 com WPA2-Enterprise e autenticação PEAP contra o RADIUS da Purple; e um SSID de gestão oculto na VLAN 30 para terminais PMS. A atribuição de VLAN dinâmica no SSID dos funcionários significa que os dispositivos da limpeza vão parar à VLAN 21 com acesso restrito à Internet, enquanto os dispositivos da receção vão parar à VLAN 20 com acesso total. O painel de análise da Purple mostra ao operador do hotel a contagem diária de convidados, a duração das sessões e as taxas de aceitação para marketing, fornecendo à equipa de marketing os dados necessários para realizar campanhas direcionadas. Cenário dois: um bloco de apartamentos de 40 unidades para arrendamento. O operador gere pontos de acesso GWN7630 com o GWN Manager local. Cada apartamento necessita da sua própria rede isolada. O operador utiliza PPSK com backend RADIUS. O Purple gere 40 credenciais de inquilinos exclusivas, cada uma mapeada para uma VLAN dedicada. Os residentes ligam-se ao SSID único "BuildingConnect" utilizando a palavra-passe da sua unidade. O portal do Purple trata do fluxo inicial de adesão, recolhe o consentimento do residente e fornece ao operador dados analíticos de ocupação e dados de envolvimento. Quando um residente se muda, o operador revoga a sua credencial PPSK na consola de administração do Purple e o acesso é imediatamente terminado. Não há necessidade de alterar a palavra-passe do SSID ou reconfigurar os APs. - Perguntas rápidas. Três perguntas que me fazem constantemente sobre implementações Grandstream. Pergunta um: Posso utilizar o GWN dot Cloud em vez do GWN Manager para a integração com o Purple? Sim. A configuração do Captive Portal no GWN dot Cloud é funcionalmente idêntica à do GWN Manager. Os caminhos do menu são os mesmos. As definições de RADIUS e walled garden estão nos mesmos locais. O GWN dot Cloud é a melhor escolha para MSPs que gerem vários sites, uma vez que obtém uma interface única para todas as implementações. Pergunta dois: O Purple suporta as análises nativas da Grandstream juntamente com as suas próprias? O Purple substitui as análises nativas do Captive Portal pelo seu próprio conjunto de dados mais detalhado. Obtém contagens de sessões, tempos de permanência, taxas de autoexclusão, dados demográficos de campos de formulários e integração com plataformas de marketing. As análises nativas do GWN para desempenho de RF, integridade do AP e contagem de clientes continuam disponíveis no GWN Manager ou GWN dot Cloud, juntamente com as análises do portal do Purple. Pergunta três: De que versão de firmware preciso nos APs GWN para PPSK com RADIUS? O PPSK com backend RADIUS requer o firmware GWN 1.0.19 ou superior na série GWN76xx. Verifique as notas de lançamento da Grandstream antes da implementação. A execução de firmware desatualizado é a causa mais comum de comportamento inesperado em implementações PPSK. - Para terminar. Integrar pontos de acesso Grandstream GWN com o Purple é uma implementação simples quando segue a sequência correta. Primeiro, configure as definições do seu servidor RADIUS na política do Captive Portal. Crie o seu walled garden utilizando a ferramenta geradora de domínios do Purple. Associe a política ao seu SSID de convidados e ative o isolamento de clientes. Para o WiFi de funcionários, ative o WPA2-Enterprise com atribuição de VLAN dinâmica. Para propriedades multi-inquilino, utilize PPSK com backend RADIUS e gira as credenciais centralmente através do Purple. As cinco coisas a acertar: RADIUS em UDP 1812 com um segredo partilhado correspondente; o walled garden que cobre todos os domínios de ativos do portal; isolamento de clientes ativado no SSID de convidados; VLAN dinâmica ativada nas definições de SSID; e firmware PPSK na versão 1.0.19 ou superior. Acerte nesses cinco pontos e terá uma implementação sólida e escalável que servirá o seu espaço durante anos. A equipa de integração da Purple pode validar a sua configuração antes da entrada em funcionamento, e a disponibilidade de 99,999% da plataforma significa que não terá de explicar falhas no portal aos hóspedes do hotel às duas da manhã. Obrigado por nos ouvir. Para mais guias técnicos sobre integrações de WiFi empresarial, visite purple dot ai. No próximo episódio, iremos abordar a atribuição dinâmica de VLAN com o Microsoft Entra ID e a funcionalidade SecurePass da Purple. Até lá.