Versions Compared

Old Version 13

changes.mady.by.user Pedro Doroshenko

Saved on

compared with

New Version 14

changes.mady.by.user Pedro Doroshenko

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de Ubiquiti usando la plataforma UniFi Controller para la integración con Octopus Platform.

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

Info

Para esta configuración es necesaria el uso de una APP que hemos desarrollado. En los siguientes pasos se explicara su uso.

En caso de error de la aplicación creará el archivo debug.log con información detallada del error.

2- Configuración módulo Guest

2.1 Radius Server

En primer lugar, se crearán los servidores radius al que se enviarán las peticiones de autenticación y el accounting. Para ello dentro del interfaz web de Unifi Network Controller en el Site objeto de configuración seleccionar la opción Settings > Profiles y seleccionar CREATE NEW RADIUS PROFILE. Rellenar los siguientes datos:

  • Profile Name: <Nombre para radius>

  • RADIUS Assigned VLAN Support

    • Wireless Networks: Marcar Enable

  • RADIUS Setting

    • Authentication Servers:

      • IP Address: <IP_Radius_1>

      • Port: 1812

      • Password/Shared Secret: <Secret>

    • Accounting: Marcar Enable

    • RADIUS Accounting Servers:

      • IP Address: <IP_Radius_1>

      • Port: 1813

      • Password/Shared Secret: <Secret>

    • Interim Update Interval: Marcar Enable / 600

 

image-20240718-091432.png

2.2 Captive Portal

Para la configuración del Captive Portal utilizaremos la APP ConfiguradorPortal. Esta app se conecta a la api de UniFi y te permite configurar el portal, la configuración

Primero tendremos que logarlos en el UniFi:

  • URL: URL local de Unifi Controller (no poner “/” del final)

  • User: <usuario administrador>

  • Password: <contraseña>

  • Site: Site donde hemos creado Radius Server (por defecto suele ser “default”)

Pincharemos en login y se mostrará la configuración que podemos editar.

image-20240718-091110.png

La propia app configura internamente algunos de los parámetros necesarios para que funcione el portal cautivo, pero otros parámetros que son opcionales o pueden variar los configuraremos desde la app:

  • Radius: nombre del servidor Radius que hemos creado previamente.

  • Redirect enable: Marcar si queremos que nos redirija a una web después de logarnos en el portal. Al marcar aparece una nueva opción donde hay que añadir la IP de la web a la que queremos que nos redirija, esta IP hay que añadirla también a “Walled garden” (añadir MAC , “/32”).

  • HTTPS redirect: Marcar Enable

  • Redirect to HTTPS: Marcar si se quieres usar el portal con HTTPS (si se utiliza realizar los pasos del apartado Opción configuración login seguro)

  • Portal use hostname: Marcar si se utiliza HTTPS para el portal (opción anterior), al marcar aparecerá una nueva opción donde tendrás que introducir el domino que vas a utilizar.

  • Walled garden: añadir IPs y dominios de los walled garden necesarios para el funcionamiento del portal cautivo (Walled Garden / Domain Whitelist, aqui puedes consultar los walled garden que hay que añadir, además de “appx.octopuswifi.com” y su IP).

  • List walled garden: muestra la lista de los “walled garden”, si queremos eliminar alguno lo seleccionamos y pinchamos en delete.

Pincharemos en Apply y se aplicará la configuración al AP. En la parte de abajo aparecerá un mensaje indicando si se ha añadido correctamente la configuración.

image-20240718-091638.png

2.3 Wireless Networks

Dentro del interfaz de usuario de Unifi Controller > Settings > Wifi, crear una nueva o editar la red en la cual queremos integrar el portal cautivo.

 

  • Name/SSID: Nombre de la red WiFi que radiarán los APs. Deberá coincidir con el configurado en Octopus Platform.

  • Broadcasting APs: All

  • Advanced: Seleccionar Manual

    • Hotspot Portal: Marcar Enable

    • WiFi Band: Marcar lo que queramos utilizar.

    • Band Steering: Marcar Enable

    • Client Device Isolation: Marcar Enable

    • BSS Transition: Marcar Enable

    • 802.11 DTIM Period: Marcar Auto

    • Security Protocol: Open

image-20240619-081224.pngimage-20240619-081313.png

 

2.4 Opción configuración login seguro

Se aconseja que todo el proceso de autenticación vaya cifrado y por lo tanto todas las interacciones con Unifi Controller se hagan mediante https. A continuación se muestran los diferentes pasos para implementarlo:

Lo primer será generar un certificado, teniendo en cuenta las siguientes consideraciones:

  • El certificado tiene que tener asociado un subdominio que lleve asociada una entrada DNS que resuelva a la IP de Unifi Network Controller. El certificado puede ser wildcard, pero el subdominio utilizado tiene que tener de la misma manera la resolución DNS.

  • Generar certificado con formato “pfx”, con alias “unifi” y password “aircontrolenterprise”. Ejemplo de generación con programa OpenSSL

    Code Block
    sudo openssl pkcs12 -export -out certificate.pfx -inkey certificate.key -in certificate.crt -certfile certificate.ca.crt -name "unifi"

  • Subir e importar el certificado al servidor donde esté instalado Unifi Controller, fijándose en la ruta que se almacena.

    • Por comodidad en windows se aconseja almacenarlo en la ruta donde están los ejecutables de Java: <Unidad_OS>:\Program Files\Java\<java_version>\bin

  • Mediante CLI, dirigirse a la carpeta donde está el certificado (en caso de windows, donde también están archivos ejecutables de Java).

  • Introducir el comando:

    Code Block
    keytool.exe -importkeystore -srckeystore certificate.pfx -srcstoretype pkcs12 -srcalias unifi -destkeystore "<ruta_keystore>" -deststoretype jks -destalias unifi -deststorepass aircontrolenterprise

    • <ruta_keystore> en Linux: /usr/lib/unifi/data/keystore 

    • <ruta_keystore> en Windows: <Unidad_OS>:\Users\<usuario>\Ubiquiti UniFi\data\keystore

    • <ruta_keystore> en Cloud key: /var/lib/unifi/keystore

  • Si todo es correcto reiniciar Unifi Controller

 

Info

Se aconseja realizar una copia previa del archivo keystore, por si sale algo mal y es necesario restablecerlo.

2.5 Listado MACs Autorizadas

Para identificar el site en Octopus Platform, es necesario añadir las direcciones MAC a la plataforma. Para obtener el listado de direcciones MAC, dentro de la configuración de Unifi Controller, dirigirse al apartado DEVICES.

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración MAC Authentication

Para habilitar la autenticación por MAC dirigirse a Setting > WiFi, acceder o editar la Wlan que se quiera configurar y en el apartado Radius Mac Authentication:

  • RADIUS MAC Authentication: Marcar Enable

  • Radius Profile: Seleccionar Radius Profile que hemos creado anteriormente

  • MAC Address Format: aa:bb:cc:dd:ee:ff

image-20240718-094116.png