Guia de Integração do Captive Portal do MikroTik RouterOS com o Purple WiFi

Guia de Integração do Captive Portal do MikroTik RouterOS com o Purple WiFi - Guião do Podcast [INTRO - aproximadamente 1 minuto] Bem-vindo. Se gere infraestruturas de WiFi num hotel, numa cadeia de retalho, num estádio ou num centro de conferências, e utiliza o MikroTik RouterOS, este episódio é para si. Vou explicar-lhe exatamente como integrar o Hotspot Gateway da MikroTik com a plataforma de guest WiFi da Purple - cobrindo três casos de utilização distintos: guest WiFi com um captive portal e walled garden, Staff WiFi seguro utilizando 802.1X e segregação de rede multi-tenant utilizando a funcionalidade Private Pre-Shared Key da MikroTik. Isto não é uma visão geral teórica. No final deste episódio, terá os comandos CLI específicos, os atributos RADIUS e a lógica de configuração de que necessita para implementar ou auditar estas configurações por si próprio. Vamos a isso. [ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos] Parte um: Guest WiFi e o captive portal da MikroTik. O Hotspot Gateway da MikroTik é o motor por trás do redirecionamento de guest WiFi no RouterOS. Quando um visitante se liga ao seu SSID de convidados, o Hotspot Gateway intercepta o seu tráfego HTTP e redireciona-o para uma splash page - esse é o seu captive portal. A Purple aloja essa splash page. O seu router MikroTik atua como o Hotspot Gateway e cliente RADIUS. A plataforma da Purple atua como o servidor RADIUS. Eis como configurá-lo. Primeiro, execute o assistente Hotspot Setup a partir do menu IP no Winbox ou através da CLI. Irá atribuí-lo à sua interface voltada para os convidados - normalmente uma interface VLAN ou uma porta bridge. Defina o seu conjunto de endereços locais (address pool), configure os seus servidores DNS e atribua um nome DNS ao hotspot. Esse nome DNS é o que os convidados veem no seu navegador antes de se autenticarem. Assim que o assistente terminar, precisa de apontar o perfil do hotspot para o servidor RADIUS da Purple. Na CLI, o comando é o seguinte: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Depois, ative o RADIUS no perfil do hotspot: /ip hotspot profile set default use-radius=yes A Purple fornecerá o endereço IP do RADIUS, o segredo partilhado (shared secret) e o URL da splash page quando configurar o seu espaço no painel da Purple. Agora, o walled garden. Isto é crítico. Antes de um convidado se autenticar, o seu dispositivo precisa de conseguir aceder à splash page da Purple e a quaisquer fornecedores de OAuth que esteja a utilizar - Google, Facebook, etc. Sem as entradas no walled garden, o ciclo de redirecionamento quebra-se e os convidados não conseguem iniciar sessão. No RouterOS, adiciona as entradas do walled garden em IP, Hotspot, Walled Garden. Precisa de adicionar o domínio da splash page da Purple, quaisquer domínios de login social e quaisquer servidores CDN que sirvam os recursos da página de login. A documentação da Purple lista os domínios exatos para a sua região. Adicione-os como entradas de IP ou de nome de anfitrião (hostname) - as entradas de nome de anfitrião são mais resilientes quando os endereços IP mudam. Os principais atributos RADIUS que a Purple retorna após uma autenticação bem-sucedida incluem o limite de tempo da sessão (session timeout), que controla quanto tempo um convidado permanece ligado antes de lhe ser solicitada nova autenticação, e opcionalmente um limite de largura de banda utilizando o atributo específico do fabricante Mikrotik-Rate-Limit. Isto permite-lhe aplicar políticas de utilização justa por sessão de convidado diretamente a partir do painel da Purple, sem alterar a configuração do router. Parte dois: Staff WiFi seguro com 802.1X. É aqui que deixa de utilizar palavras-passe partilhadas por completo. O IEEE 802.1X é o padrão para controlo de acesso à rede baseado em portas. Numa interface sem fios MikroTik, ativa a autenticação WPA2-Enterprise ou WPA3-Enterprise, o que significa que o ponto de acesso se torna um autenticador - este passa as credenciais EAP do dispositivo do funcionário para um servidor RADIUS, que as valida e retorna um Access-Accept ou Access-Reject. O produto Staff WiFi da Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace como fornecedores de identidade. Quando o dispositivo de um funcionário se liga, apresenta um certificado ou nome de utilizador e palavra-passe via PEAP-MSCHAPv2. O servidor RADIUS da Purple valida essa credencial em tempo real junto do seu fornecedor de identidade. Do lado do MikroTik, configura o perfil de segurança sem fios com os tipos de autenticação (authentication-types) definidos para wpa2-eap, e aponta o cliente RADIUS para o servidor da Purple com service=wireless. No CAPsMAN - o sistema de gestão centralizada de pontos de acesso da MikroTik - define isto ao nível da configuração de segurança para que se aplique de forma consistente em todos os seus pontos de acesso geridos. O servidor RADIUS pode retornar o atributo Mikrotik-Wireless-VLANID para colocar os funcionários autenticados numa VLAN específica. É assim que impõe a segmentação de rede - a equipa financeira fica na VLAN 10, a de operações na VLAN 20, e assim sucessivamente - tudo a partir de um único SSID, tudo baseado na identidade. Para a revogação automática - quando um funcionário sai da empresa - a integração da Purple com o seu fornecedor de identidade significa que, ao desativar a conta no Entra ID ou Okta, a próxima tentativa de nova autenticação falha e o dispositivo é desligado. Sem necessidade de alterações manuais na configuração do router. Parte três: WiFi Multi-Tenant com Private Pre-Shared Keys. Este é o caso mais interessante do ponto de vista da arquitetura. O Private PSK - por vezes chamado PPSK ou iPSK - permite-lhe disponibilizar um único SSID onde cada inquilino, residente ou grupo de dispositivos se liga com uma palavra-passe exclusiva, e cada palavra-passe é mapeada para uma VLAN diferente. No MikroTik, isto funciona através de autenticação RADIUS baseada em MAC na interface sem fios. Quando um dispositivo se liga, o ponto de acesso envia o endereço MAC do dispositivo para o servidor RADIUS como o nome de utilizador. O servidor RADIUS - seja o próprio User Manager da MikroTik no RouterOS 7, ou o FreeRADIUS - procura esse endereço MAC e retorna dois atributos específicos do fabricante: Mikrotik-Wireless-Psk, que é a palavra-passe por dispositivo, e Mikrotik-Wireless-VLANID, que coloca o dispositivo na VLAN correta. O perfil de segurança sem fios necessita de ter radius-mac-authentication definido para yes, e o cliente RADIUS necessita de service=wireless. Na prática, para uma propriedade de arrendamento de longa duração (build-to-rent) com 200 apartamentos, pré-registaria os endereços MAC dos dispositivos de cada residente na plataforma da Purple quando estes se mudassem. A Purple mapeia cada MAC para uma PSK exclusiva e uma VLAN correspondente ao segmento de rede desse apartamento. O residente liga-se utilizando a palavra-passe do seu apartamento. Os seus dispositivos ficam numa VLAN isolada. Os dispositivos do vizinho estão numa VLAN completamente separada. Nenhum consegue ver o tráfego do outro. Para dispositivos que não suportam 802.1X - smart TVs, consolas de jogos, dispositivos IoT - esta abordagem é la alternativa prática. O dispositivo apenas precisa de suportar WPA2-PSK, o que é comum a todos. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Deixe-me apresentar-lhe as quatro coisas que correm mal com mais frequência nestas implementações. Primeiro: falhas no walled garden. Se a splash page da Purple não carregar, verifique as suas entradas de walled garden. O culpado mais comum é um domínio CDN em falta ou um redirecionamento de login social que não está na lista de permissões. Utilize a ferramenta torch ou o packet sniffer do MikroTik para monitorizar quais as consultas DNS que estão a ser bloqueadas antes da autenticação. Segundo: incompatibilidades de limite de tempo (timeout) do RADIUS. O timeout predefinido do RADIUS no MikroTik é de 1100 milissegundos. Se o servidor RADIUS da Purple estiver geograficamente distante ou se o caminho de rede tiver latência, verá falhas de autenticação intermitentes. Aumente o timeout para 3000 milissegundos e configure um servidor RADIUS de cópia de segurança (backup) para maior resiliência. Terceiro: filtragem de VLAN não ativada na bridge. A atribuição dinâmica de VLAN via RADIUS só funciona se a filtragem de VLAN da bridge estiver ativada. Este é um requisito do RouterOS. Se verificar que todos os clientes ficam na VLAN predefinida, independentemente do que o RADIUS retorna, confirme se vlan-filtering=yes está definido na sua interface bridge. Quarto: incompatibilidade de versões do CAPsMAN. Se estiver a executar uma mistura de pontos de acesso geridos com CAPsMAN versão 2 e versão 3, o comportamento de marcação de VLAN pode diferir. Padronize no RouterOS 7 com CAPsMAN versão 3 em todo o seu parque de pontos de acesso antes de implementar funcionalidades de VLAN dinâmica. Uma recomendação de arquitetura: execute o seu tráfego de convidados, funcionários e gestão em VLANs separadas desde o primeiro dia, mesmo que não esteja a utilizar os três casos de utilização da Purple imediatamente. Adaptar a segmentação de VLAN a uma rede plana posteriormente é significativamente mais disruptivo do que construí-la de raiz. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Posso utilizar o User Manager integrado do MikroTik em vez de um servidor RADIUS externo? Sim, para implementações mais pequenas. O User Manager no RouterOS 7 suporta PEAP-MSCHAPv2 para 802.1X sem fios e pode retornar o atributo Mikrotik-Wireless-VLANID. Para implementações em produção com a Purple, utilizará a infraestrutura RADIUS alojada da Purple, que trata da integração com o fornecedor de identidade e da gestão de sessões por si. A Purple suporta o MikroTik CAPsMAN? Sim. A Purple é agnóstica em termos de hardware. A integração funciona ao nível do RADIUS e do redirecionamento do hotspot, pelo que é igualmente compatível com pontos de acesso MikroTik autónomos e implementações geridas por CAPsMAN. De que versão do RouterOS necessito? O RouterOS 7.x é recomendado para os três casos de utilização abrangidos neste guia. A atribuição dinâmica de VLAN via RADIUS sem fios e o User Manager atualizado são funcionalidades do RouterOS 7. O RouterOS 6.x suporta hotspot e autenticação RADIUS básica, mas carece de algumas das capacidades de VLAN sem fios. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Em resumo: o MikroTik RouterOS oferece-lhe três pontos de integração distintos com a Purple. O Hotspot Gateway trata do redirecionamento de guest WiFi e da autenticação do captive portal. A configuração de 802.1X sem fios com RADIUS trata do Staff WiFi seguro com acesso baseado na identidade. E a autenticação RADIUS baseada em MAC com Private PSK trata da segregação de rede multi-tenant para propriedades residenciais e de utilização mista. O elemento comum aos três é o RADIUS. Configure corretamente o seu cliente RADIUS - IP correto, segredo partilhado correto, tipo de serviço correto, timeout correto - e o resto surge naturalmente. Os seus próximos passos: inicie sessão no seu painel da Purple, navegue até à configuração do espaço e obtenha as suas credenciais RADIUS. Depois, siga os comandos CLI no guia escrito para configurar o seu perfil de hotspot, o seu perfil de segurança sem fios e as suas entradas de walled garden. Teste com um único ponto de acesso antes de implementar em todo o seu parque de equipamentos. Se estiver a implementar isto em grande escala - múltiplos locais, centenas de pontos de acesso - a equipa de Serviços Profissionais da Purple pode apoiar a implementação. A Purple opera em mais de 80 000 espaços ativos globalmente, com 99,999% de tempo de atividade, e é certificada pelas normas ISO 27001, GDPR e Cyber Essentials. Obrigado por ouvir. O guia escrito completo com todos os comandos CLI, tabelas de atributos RADIUS e exemplos práticos está ligado nas notas do episódio.