Omada Controller v3
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de TP-Link usando la plataforma Omada Controller para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Configuración WLAN
El primer paso es crear un nuevo WLAN Group. Para ello acceder a Wireless Settings > Basic Wireless Setting y añadir un nuevo WLAN Group pulsando sobre el icono Add:
Rellanar con el nombre deseado y pulsar Apply:
Una vez añadido, crear un SSID asociado a este nuevo WLAN Group. Para ello pulsamos sobre el botón Add y rellanar con los siguientes parámetros en la pestaña Basic Info:
SSID Name: Indicar el SSID que radiarán los APs
Band: Habilitar 2.4GHz y 5GHz
Guest Network: Deshabilitado
Security Mode: None
Por último dentro de Advanced Settings activaremos la opción SSID Broadcast para hacer visible el SSID:
2.2 Captive Portal y Radius Servers
A continuación, añadir el nuevo Splash Portal y datos Radius para la validación de los usuarios. Para ello, acceder a Wireless Control > Portal y pulsar sobre el icono Add a New Portal. Una vez abierto el desplegable, completar los siguientes parámetros:
Portal Name: Nombre identificativo del portal.
SSID: Seleccionar el SSID creado anteriormente.
Authentication Type: External RADIUS Server
RADIUS Server IP: <IP_Radius_1>
RADIUS Port: 1812
RADIUS Password: <Secret>
Authentication Mode: PAP
Radius Accounting: Enable
Accounting Server IP: <IP_Radius_1>
Accounting Server Port:1813
Accounting Server Password: <Secret>
Interim Update: 600
Portal Customization: External Web Portal
External Web Portal URL: http://<dominio_captive_portal>/login/hotspot/omada
No habilitar la URL de redirección, ya que será configurada en la plataforma.
2.3 Walled Garden
El siguiente paso sería indicar los dominios a los que el usuario tendrá acceso libre antes de autenticarse en la red. Para ello acceder a Wireless Control > Free Authentication Policy:
Para añadir los dominios de acceso libre, haga click en el icono Add y añada cada uno de los dominios necesarios con la siguiente configuración:
Policy Name: añadir un nombre diferente para cada regla
Match Mode: URL Type
URL: añadir la URL del dominio a configurar
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.4 Configuración APs
Para finalizar la configuración de los Access Points hay que asociar los APs al WLAN Group que contiene el SSID creado. Para ello acceder a Access Points y seleccionar los APs que deseamos que radien el SSID:
Tras ello, pulsar sobre la opción Configuration y seleccionar la pestaña WLANS. Finalmente seleccionar el WLAN Group creado al principio
2.5 Listado MACs autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.
Estas direcciones MAC son fácilmente accesibles dentro de la sección Access Points, columna MAC Address.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
2.6 Configuraciones adicionales
Página Login Success
Por defecto en la integración con Omada, si la autenticación en el portal cautivo es exitosa aparece durante un corto espacio de tiempo una página donde aparece "login success". Esta página aparece por defecto con el logo y background de Tplink. Para editarla a nuestro gusto dentro de la configuración de Omada Controller, acceder a Seetings > Wireless Control > Portal y editar el portal ya creado.
Momentáneamente cambiar el parámetro Portal Customization a Local Web Portal y editar los siguientes campos:
Background: Seleccionar Solid Color o Picture en función de como queramos editarlo. En caso de Solid Color seleccionar un color y en Picture una imagen. Se aconseja seleccionar Solid Color blanco para que no contraste mucho con el fondo de los navegadores.
Logo Picture: Seleccionar un logo genérico que aparecerá en todos los sites con ese portal configurado.
Una vez cambiada la configuración salvar la edición del portal.
Volver a editar el portal y seleccionar nuevamente el parámetro Portal Customization a External Web Portal. Verificar que el External Web Portal URL sigue con la misma configuración.
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración Captive portal + MAC Authentication
Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional.
Dirigirse a Settings > Authentication > MAC-Based Authentication y activar la función MAC-Based Authetication
SSID: Seleccionar la WLAN creada en el punto 2.1 de esta guía.
RADIUS Profile: Asociar los servidores radius creados en el punto 2.2 de esta guía
MAC Address Format: Seleccionar el formato de las MAC
MAC-Based Authentication Fallback: Disable
Empty Password: Enable
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Wireless Settings > Wireless Networks y añadir un nuevo WLAN pulsando sobre + Create New Wireless Network:
SSID Name: configurar SSID que radiarán los APs por ejemplo Mac_Auth_Guest
Band: Habilitar 2.4GHz y 5GHz
Guest Network: Deshabilitado
Security Mode: None
Por último, dentro de Advanced Settings activaremos la opción SSID Broadcast para hacer visible el SSID:
Una vez hecho esto dirigirse al apartado Settings > Authentication > MAC-Based Authentication y activar la función MAC-Based Authetication
SSID: Seleccionar la WLAN creada.
RADIUS Profile: Asociar los servidores radius creados en el punto 2.2 de esta guía
MAC Address Format: Seleccionar el formato de las MAC
MAC-Based Authentication Fallback: Enable
3.3 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Omada Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Omada, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
---|---|---|
Idle-Timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos. | Segundos |
Acct-Interim-Interval | Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos. | Segundos |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso