Mikrotik RouterOS e guest WiFi: configuração do captive portal com a Purple

Guia de Integração do MikroTik RouterOS Captive Portal e Purple WiFi - Script de Podcast [INTRO - aproximadamente 1 minuto] Bem-vindo. Se gere uma infraestrutura de WiFi num hotel, numa cadeia de retalho, num estádio ou num centro de conferências, e utiliza o MikroTik RouterOS, este episódio é para si. Vou explicar-lhe exatamente como integrar o Hotspot Gateway da MikroTik com a plataforma de guest WiFi da Purple - abrangendo três casos de utilização distintos: guest WiFi com um captive portal e walled garden, WiFi seguro para colaboradores utilizando 802.1X e segregação de rede multi-tenant utilizando a funcionalidade Private Pre-Shared Key da MikroTik. Isto não é uma visão geral teórica. No final disto, terá os comandos de CLI específicos, os atributos RADIUS e a lógica de configuração de que necessita para implementar ou auditar estas configurações por si próprio. Vamos a isso. [ANÁLISE TÉCNICA DETALHADA - aproximadamente 5 minutos] Parte um: Guest WiFi e o captive portal MikroTik. O Hotspot Gateway da MikroTik é o motor por trás do redirecionamento de guest WiFi no RouterOS. Quando um visitante se liga ao seu SSID de convidados, o Hotspot Gateway interpeta o seu tráfego HTTP e redireciona-o para uma splash page - que é o seu captive portal. A Purple aloja essa splash page. O seu router MikroTik funciona como o Hotspot Gateway e cliente RADIUS. A plataforma da Purple funciona como o servidor RADIUS. Eis como deve configurar. Primeiro, execute o assistente Hotspot Setup a partir do menu IP no Winbox ou através do CLI. Irá atribuí-lo à sua interface voltada para os convidados - normalmente uma interface VLAN ou uma porta de bridge. Defina o seu pool de endereços locais, configure os seus servidores DNS e atribua um nome DNS ao hotspot. Esse nome DNS é o que os convidados veem no seu browser antes de se autenticarem. Assim que o assistente estiver concluído, precisa de apontar o perfil do hotspot para o servidor RADIUS da Purple. No CLI, o comando é o seguinte: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 Depois, ative o RADIUS no perfil do hotspot: /ip hotspot profile set default use-radius=yes A Purple fornecerá o endereço IP do RADIUS, o segredo partilhado e o URL da splash page quando configurar o seu local no painel da Purple. Agora, o walled garden. Isto é crítico. Antes de um convidado se autenticar, o seu dispositivo precisa de conseguir aceder à splash page da Purple e a quaisquer fornecedores de OAuth que esteja a utilizar - Google, Facebook e assim por diante. Sem entradas no walled garden, o ciclo de redirecionamento quebra e os convidados não conseguem iniciar sessão. No RouterOS, adiciona as entradas do walled garden em IP, Hotspot, Walled Garden. Precisa de adicionar o domínio da splash page da Purple, quaisquer domínios de login social e quaisquer hosts de CDN que sirvam os recursos da página de login. A documentação da Purple lista os domínios exatos para a sua região. Adicione-os como entradas de IP ou entradas de hostname - as entradas de hostname são mais resilientes quando os endereços IP mudam. Os principais atributos RADIUS que o Purple devolve após uma autenticação bem-sucedida incluem o limite de tempo da sessão (session timeout), que controla quanto tempo um convidado permanece ligado antes de lhe ser solicitado o acesso novamente, e opcionalmente um limite de largura de banda utilizando o atributo específico do fabricante Mikrotik-Rate-Limit. Isto permite-lhe aplicar políticas de utilização justa por sessão de convidado diretamente a partir do painel do Purple sem alterar a configuração do router. Parte dois: WiFi seguro para colaboradores com 802.1X. É aqui que deixa de utilizar totalmente as palavras-passe partilhadas. O IEEE 802.1X é a norma para controlo de acesso à rede baseado em portas. Numa interface sem fios MikroTik, ativa a autenticação WPA2-Enterprise ou WPA3-Enterprise, o que significa que o ponto de acesso se torna um autenticador - este passa as credenciais EAP do dispositivo do colaborador para um servidor RADIUS, que as valida e devolve um Access-Accept ou Access-Reject. O produto Staff WiFi do Purple integra-se com o Microsoft Entra ID, Okta e Google Workspace como fornecedores de identidade. Quando o dispositivo de um colaborador se liga, este apresenta um certificado ou nome de utilizador e palavra-passe via PEAP-MSCHAPv2. O servidor RADIUS do Purple valida essa credencial com o seu fornecedor de identidade em tempo real. Do lado da MikroTik, configura o perfil de segurança sem fios com os tipos de autenticação definidos como wpa2-eap, e aponta o cliente RADIUS para o servidor do Purple com o serviço=wireless. No CAPsMAN - que é o sistema de gestão centralizada de pontos de acesso da MikroTik - define isto ao nível da configuração de segurança para que se aplique de forma consistente em todos os seus pontos de acesso geridos. O servidor RADIUS pode devolver o atributo Mikrotik-Wireless-VLANID para colocar os colaboradores autenticados numa VLAN específica. É assim que aplica a segmentação de rede - a equipa financeira fica na VLAN 10, as operações na VLAN 20, e assim sucessivamente - tudo a partir de um único SSID, tudo impulsionado pela identidade. Para a revogação automática - quando um colaborador sai - a integração do Purple com o seu fornecedor de identidade significa que, quando desativa a conta no Entra ID ou Okta, a tentativa de reautenticação seguinte falha e o dispositivo é desligado. Não são necessárias alterações manuais na configuração do router. Parte três: WiFi multi-inquilino com Private Pre-Shared Keys. Esta é a mais interessante das três a nível de arquitetura. O Private PSK - por vezes designado por PPSK ou iPSK - permite-lhe executar um único SSID onde cada inquilino, residente ou grupo de dispositivos se liga com uma frase de passe exclusiva, e cada frase de passe é mapeada para uma VLAN diferente. Na MikroTik, isto funciona através da autenticação RADIUS baseada em MAC na interface sem fios. Quando um dispositivo se liga, o ponto de acesso envia o endereço MAC do dispositivo para o servidor RADIUS como o nome de utilizador. O servidor RADIUS - seja o próprio User Manager da MikroTik no RouterOS 7, ou o FreeRADIUS - procura esse endereço MAC e devolve dois atributos específicos do fabricante: Mikrotik-Wireless-Psk, que é a frase de passe por dispositivo, e Mikrotik-Wireless-VLANID, que coloca o dispositivo na VLAN correta. O perfil de segurança wireless precisa de ter o radius-mac-authentication definido como yes, e o cliente RADIUS precisa de service=wireless. Na prática, para um empreendimento build-to-rent com 200 apartamentos, pré-registaria os endereços MAC dos dispositivos de cada residente na plataforma da Purple quando estes se mudassem. A Purple mapeia cada MAC para uma PSK única e uma VLAN correspondente ao segmento de rede desse apartamento. O residente liga-se usando a palavra-passe do seu apartamento. Os seus dispositivos ficam numa VLAN isolada. Os dispositivos do seu vizinho estão numa VLAN completamente separada. Nenhum consegue ver o tráfego do outro. Para dispositivos que não suportam 802.1X - smart TVs, consolas de jogos, dispositivos IoT - esta abordagem é a alternativa prática. O dispositivo apenas precisa de suportar WPA2-PSK, o que é suportado por tudo. [RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS - aproximadamente 2 minutos] Deixe-me apresentar as quatro coisas que mais frequentemente correm mal nestas implementações. Primeiro: falhas no walled garden. Se o splash page da Purple não carregar, verifique as suas entradas no walled garden. O culpado mais comum é a falta de um domínio CDN ou um redirecionamento de login social que não está na whitelist. Use a ferramenta torch do MikroTik ou o packet sniffer para ver quais as consultas DNS que estão a ser bloqueadas antes da autenticação. Segundo: inconsistências no timeout do RADIUS. O timeout padrão do RADIUS no MikroTik é de 1.100 milissegundos. Se o servidor RADIUS da Purple estiver geograficamente distante ou se o caminho da rede tiver latência, verá falhas de autenticação intermitentes. Aumente o timeout para 3.000 milissegundos e configure um servidor RADIUS de backup para resiliência. Terceiro: filtragem de VLAN não ativada na bridge. A atribuição dinâmica de VLAN via RADIUS só funciona se a filtragem de VLAN da bridge estiver ativada. Este é um requisito do RouterOS. Se estiver a ver todos os clientes a cair na VLAN padrão, independentemente do que o RADIUS devolve, verifique se vlan-filtering=yes está definido na sua interface bridge. Quarto: inconsistência na versão do CAPsMAN. Se estiver a correr uma mistura de pontos de acesso geridos com CAPsMAN versão 2 e versão 3, o comportamento da etiquetagem de VLAN pode diferir. Padronize para o RouterOS 7 com CAPsMAN versão 3 em todo o seu parque de APs antes de implementar funcionalidades de VLAN dinâmica. Uma recomendação arquitetural: execute o seu tráfego de convidados, funcionários e gestão em VLANs separadas desde o primeiro dia, mesmo que não esteja a utilizar os três casos de uso da Purple imediatamente. Adaptar a segmentação de VLAN a uma rede plana é significativamente mais disruptivo do que construí-la de raiz. [PERGUNTAS E RESPOSTAS RÁPIDAS - aproximadamente 1 minuto] Posso usar o User Manager integrado do MikroTik em vez de um servidor RADIUS externo? Sim, para implementações mais pequenas. O User Manager no RouterOS 7 suporta PEAP-MSCHAPv2 para 802.1X wireless e pode devolver o atributo Mikrotik-Wireless-VLANID. Para implementações de produção com a Purple, utilizará a infraestrutura RADIUS alojada da Purple, que lida com a integração do fornecedor de identidade e a gestão de sessões por si. A Purple suporta o MikroTik CAPsMAN? Sim. A Purple é agnóstica em relação ao hardware. A integração funciona ao nível do RADIUS e do redirecionamento do hotspot, pelo que é igualmente compatível com pontos de acesso MikroTik autónomos e implementações geridas por CAPsMAN. Que versão do RouterOS necessito? O RouterOS 7.x é recomendado para os três casos de utilização abrangidos neste guia. A atribuição dinâmica de VLAN através de RADIUS sem fios e o User Manager atualizado são funcionalidades do RouterOS 7. O RouterOS 6.x suporta hotspot e autenticação RADIUS básica, mas carece de algumas das capacidades de VLAN sem fios. [RESUMO E PRÓXIMOS PASSOS - aproximadamente 1 minuto] Em resumo: o MikroTik RouterOS oferece-lhe três pontos de integração distintos com a Purple. O Hotspot Gateway lida com o redirecionamento de WiFi de convidados e autenticação de Captive Portal. A configuração sem fios 802.1X com RADIUS lida com WiFi seguro para funcionários com acesso baseado na identidade. E a autenticação RADIUS baseada em MAC com Private PSK lida com a segregação de rede multi-tenant para propriedades residenciais e de uso misto. O elemento comum a todos os três é o RADIUS. Configure corretamente o seu cliente RADIUS - IP correto, segredo partilhado correto, tipo de serviço correto, timeout correto - e o resto segue-se. Os seus próximos passos: inicie sessão no seu painel Purple, navegue até à configuração do local e obtenha as suas credenciais RADIUS. De seguida, siga os comandos CLI no guia escrito para configurar o seu perfil de hotspot, o seu perfil de segurança sem fios e as suas entradas de walled garden. Teste com um único ponto de acesso antes de implementar em toda a sua infraestrutura. Se está a implementar isto à escala - múltiplos locais, centenas de pontos de acesso - a equipa de Professional Services da Purple pode apoiar a implementação. A Purple funciona em 80.000 locais ativos globalmente, com 99,999% de uptime, e é certificada de acordo com as normas ISO 27001, GDPR e Cyber Essentials. Obrigado por ouvir. O guia escrito completo com todos os comandos CLI, tabelas de atributos RADIUS e exemplos práticos está disponível na ligação nas notas do programa.