MikroTik RouterOS Captive Portal 與 Purple WiFi 整合指南

MikroTik RouterOS Captive Portal 與 Purple WiFi 整合指南 - 播客腳本 [引言 - 約 1 分鐘] 歡迎收聽。如果您正在管理飯店、零售連鎖店、體育場或會議中心的 WiFi 基礎設施，並且正在運行 MikroTik RouterOS，那麼本集內容非常適合您。 我將帶您逐步了解如何將 MikroTik 的 Hotspot 閘道器與 Purple 的訪客 WiFi 平台進行整合，內容涵蓋三個不同的使用案例：帶有 Captive Portal 和 Walled Garden 的訪客 WiFi、使用 802.1X 的安全員工 WiFi，以及使用 MikroTik 的 Private Pre-Shared Key 功能進行多租戶網路隔離。 這不是理論上的概述。在結束時，您將獲得具體的 CLI 指令、RADIUS 屬性和設定邏輯，以便您自己部署或稽核這些設定。 讓我們開始吧。 [技術深入探討 - 約 5 分鐘] 第一部分：Guest WiFi 與 MikroTik Captive Portal。 MikroTik 的 Hotspot 閘道器是 RouterOS 上訪客 WiFi 重新導向背後的引擎。當訪客連線到您的訪客 SSID 時，Hotspot 閘道器會攔截他們的 HTTP 流量並將其重新導向至歡迎頁面——這就是您的 Captive Portal。Purple 託管了該歡迎頁面。您的 MikroTik 路由器充當 Hotspot 閘道器和 RADIUS 用戶端。Purple 的平台則充當 RADIUS 伺服器。 以下是設定方法。首先，從 Winbox 的 IP 功能表或透過 CLI 執行 Hotspot Setup 精靈。您將其分配給面向訪客的介面——通常是 VLAN 介面或橋接連接埠。設定您的本機位址池、設定您的 DNS 伺服器，並為 Hotspot 提供一個 DNS 名稱。該 DNS 名稱是訪客在驗證之前在瀏覽器中看到的內容。 精靈完成後，您需要將 Hotspot 設定檔指向 Purple 的 RADIUS 伺服器。在 CLI 中，它看起來像這樣： /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 然後在 Hotspot 設定檔上啟用 RADIUS： /ip hotspot profile set default use-radius=yes 當您在 Purple 控制面板中設定場域時，Purple 將為您提供 RADIUS IP 位址、共用金鑰和歡迎頁面 URL。 現在是 Walled Garden。這至關重要。在訪客驗證之前，他們的裝置需要能夠連線到 Purple 的歡迎頁面以及您正在使用的任何 OAuth 提供商——Google、Facebook 等。如果沒有 Walled Garden 項目，重新導向迴圈就會中斷，訪客將無法登入。 在 RouterOS 中，您可以在 IP、Hotspot、Walled Garden 下新增 Walled Garden 項目。您需要新增 Purple 的歡迎頁面網域、任何社群登入網域，以及任何提供登入頁面資源的 CDN 主機。Purple 的文件列出了您所在地區的確切網域。將它們新增為 IP 項目或主機名稱項目——當 IP 位址變更時，主機名稱項目更具彈性。 Purple 在成功驗證後傳回的金鑰 RADIUS 屬性包括工作階段逾時（控制訪客在再次收到提示之前保持連線的時間），以及可選擇使用特定廠商屬性 Mikrotik-Rate-Limit 的頻寬速率限制。這使您能夠直接從 Purple 控制面板強制執行每個訪客工作階段的公平使用政策，而無需更改路由器設定。 第二部分：使用 802.1X 的安全 Staff WiFi。 這是您完全擺脫共用密碼的地方。IEEE 802.1X 是基於連接埠之網路存取控制的標準。在 MikroTik 無線介面上，您啟用 WPA2-Enterprise 或 WPA3-Enterprise 驗證，這意味著基地台成為驗證器——它將來自員工裝置的 EAP 認證憑證傳遞給 RADIUS 伺服器，後者對其進行驗證並傳回 Access-Accept 或 Access-Reject。 Purple 的 Staff WiFi 產品與 Microsoft Entra ID、Okta 和 Google Workspace 整合做為身分識別提供商。當員工的裝置連線時，它會透過 PEAP-MSCHAPv2 提供憑證或使用者名稱和密碼。Purple 的 RADIUS 伺服器會即時向您的身分識別提供商驗證該認證憑證。 在 MikroTik 端，您將無線安全設定檔的 authentication-types 設定為 wpa2-eap，並將 RADIUS 用戶端指向帶有 service=wireless 的 Purple 伺服器。在 CAPsMAN（MikroTik 的集中式基地台管理系統）中，您可以在安全設定層級進行此設定，以便一致地套用到所有受管理的基地台。 RADIUS 伺服器可以傳回 Mikrotik-Wireless-VLANID 屬性，將通過驗證的員工置於特定的 VLAN 上。這就是您強制執行網路切割的方式——財務人員進入 VLAN 10，營運人員進入 VLAN 20 等等——全部來自單一 SSID，全部由身分驅動。 對於自動撤銷——當員工離職時——Purple 與您的身分識別提供商的整合意味著，當您在 Entra ID 或 Okta 中停用帳戶時，下一次重新驗證嘗試將失敗，且裝置將被斷開連線。無需手動更改路由器設定。 第三部分：使用 Private Pre-Shared Keys 的 Multi-Tenant WiFi。 這是這三者中在架構上最有趣的一個。Private PSK（有時稱為 PPSK 或 iPSK）允許您運行單一 SSID，其中每個租戶、住戶或裝置群組都使用唯一的密碼進行連線，並且每個密碼都對應到不同的 VLAN。 在 MikroTik 上，這是透過無線介面上基於 MAC 的 RADIUS 驗證來運作的。當裝置連線時，基地台會將裝置的 MAC 位址作為使用者名稱傳送到 RADIUS 伺服器。RADIUS 伺服器（RouterOS 7 中 MikroTik 自有的 User Manager 或 FreeRADIUS）會尋找該 MAC 位址並傳回兩個特定廠商屬性：Mikrotik-Wireless-Psk（每台裝置的密碼）和 Mikrotik-Wireless-VLANID（將裝置置於正確的 VLAN 上）。 無線安全設定檔需要將 radius-mac-authentication 設定為 yes，且 RADIUS 用戶端需要 service=wireless。 在實務上，對於擁有 200 間公寓的長租公寓物業，您可以在住戶入住時在 Purple 的平台中預先註冊其裝置的 MAC 位址。Purple 將每個 MAC 對應到唯一的 PSK 以及與該公寓網路區段相對應的 VLAN。住戶使用其公寓密碼進行連線。他們的裝置進入隔離的 VLAN。他們鄰居的裝置則在完全獨立的 VLAN 上。雙方都無法看到對方的流量。 對於不支援 802.1X 的裝置（智慧電視、遊戲主機、IoT 裝置），此方法是實用的替代方案。裝置只需要支援 WPA2-PSK 即可，而所有裝置都支援此協定。 [實作建議與常見陷阱 - 約 2 分鐘] 讓我為您介紹這些部署中最常出錯的四件事。 第一：Walled Garden 漏洞。如果 Purple 的歡迎頁面無法載入，請檢查您的 Walled Garden 項目。最常見的原因是缺少 CDN 網域或未將社群登入重新導向加入白名單。使用 MikroTik torch 工具或封包監聽器（packet sniffer）來觀察驗證前有哪些 DNS 查詢被封鎖。 第二：RADIUS 逾時不匹配。MikroTik 的預設 RADIUS 逾時為 1,100 毫秒。如果 Purple 的 RADIUS 伺服器在地理位置上較遠，或者網路路徑存在延遲，您將會看到間歇性的驗證失敗。請將逾時增加到 3,000 毫秒，並設定備用 RADIUS 伺服器以提高彈性。 第三：橋接器上未啟用 VLAN 篩選。只有在啟用橋接器 VLAN 篩選時，透過 RADIUS 進行的動態 VLAN 分配才能運作。這是 RouterOS 的要求。如果您看到所有用戶端都進入預設 VLAN，而不管 RADIUS 傳回什麼，請檢查您的橋接介面上是否設定了 vlan-filtering=yes。 第四：CAPsMAN 版本不匹配。如果您混合運行 CAPsMAN 版本 2 和版本 3 受管理的基地台，VLAN 標記行為可能會有所不同。在部署動態 VLAN 功能之前，請在您的所有 AP 設備上標準化使用帶有 CAPsMAN 版本 3 的 RouterOS 7。 一個架構上的建議：從第一天起就在獨立的 VLAN 上運行您的訪客、員工和管理流量，即使您不會立即使用所有三個 Purple 使用案例。在扁平網路上改裝 VLAN 切割，其破壞性明顯大於從一開始就將其建置進去。 [快速問答 - 約 1 分鐘] 我可以使用 MikroTik 內建的 User Manager 來代替外部 RADIUS 伺服器嗎？ 可以，適用於較小規模的部署。RouterOS 7 中的 User Manager 支援用於無線 802.1X 的 PEAP-MSCHAPv2，並可傳回 Mikrotik-Wireless-VLANID 屬性。對於與 Purple 的生產環境部署，您將使用 Purple 託管的 RADIUS 基礎設施，它會為您處理身分識別提供商整合和工作階段管理。 Purple 支援 MikroTik CAPsMAN 嗎？ 是的。Purple 與硬體無關。整合在 RADIUS 和 Hotspot 重新導向層級運作，因此它同樣相容於獨立的 MikroTik 基地台和受 CAPsMAN 管理的部署。 我需要什麼版本的 RouterOS？ 本指南涵蓋的所有三個使用案例均推薦使用 RouterOS 7.x。透過無線 RADIUS 進行的動態 VLAN 分配和更新的 User Manager 是 RouterOS 7 的功能。RouterOS 6.x 支援 Hotspot 和基本的 RADIUS 驗證，但缺乏某些無線 VLAN 功能。 [總結與後續步驟 - 約 1 分鐘] 總結來說：MikroTik RouterOS 為您提供了與 Purple 的三個不同整合點。Hotspot 閘道器處理訪客 WiFi 重新導向和 Captive Portal 驗證。帶有 RADIUS 的無線 802.1X 設定處理具有基於身分存取權限的安全員工 WiFi。而帶有 Private PSK 的基於 MAC 的 RADIUS 驗證則處理住宅和混合用途物業的多租戶網路隔離。 這三者的共同點是 RADIUS。正確設定您的 RADIUS 用戶端設定——正確的 IP、正確的共用金鑰、正確的服務類型、正確的逾時——其餘的就順理成章了。 您的後續步驟：登入您的 Purple 控制面板，導覽至場域設定，並取得您的 RADIUS 認證憑證。然後按照書面指南中的 CLI 指令設定您的 Hotspot 設定檔、您的無線安全設定檔和您的 Walled Garden 項目。在部署到整個設備之前，先用單一基地台進行測試。 如果您要大規模部署此方案——多個站點、數百個基地台——Purple 的專業服務團隊可以支援此部署。Purple 在全球超過 80,000 個營運場域中運行，可用性達 99.999%，並通過了 ISO 27001、GDPR 和 Cyber Essentials 認證。 感謝您的收聽。包含所有 CLI 指令、RADIUS 屬性表和實作範例的完整書面指南已連結在節目資訊中。