Aerohive

Owned by David López Frutos (Unlicensed)
Last updated: Oct 15, 2021 by Santiago Nanclares (Unlicensed)
9 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de Aerohive usando la plataforma HiveManager NG para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

 

2- Configuración módulo Guest

2.1 Configuración WLAN

Para configurar el portal cautivo en una red / SSID en concreto con la solución HiveManager NG, se deberán seguir la siguiente guía para crear o editar una determinada Network Policy en el interfaz gráfico de la plataforma Hive Manager NG. Para crear el profile acceder al menú  Configure > Networks Policies y crear una nueva Network Policy haciendo click en Add Network Policy.

 

Policy Details

Tras crear la nueva Network Policy, en la primera pestaña de la configuración (Policy Details) únicamente añadir el nombre de la Network Policy y pulsar “SAVE”

 

Wireless Settings

A continuación dentro de Wireless Networks añadimos un nuevo SSID con la opción All other Networks (standard)

 

En primer lugar escogemos un nombre para la red WiFi y posteriormente el nombre que radiará:

 

Para configurar el SSID creado, dentro de SSID Authentication seleccionar la opción Open y habilitar los siguientes parámetros:

  • Enable Captive Web Portal

  • User Auth on Captive Web Potal

  • Redirect to External URL for Authentication

A continuación, configurar los parámetros del portal cautivo. Para ello pulsar en ADD en el campo Default Captive Web Portal para crear un nuevo perfil.

 

A continuación configurar el portal cautivo externo creado con los siguientes parámetros:

  • User Auth on Captive Web Portal: ON

  • Login Page: añadir los siguientes parámetros:

    • Login URL (revisar apartado 2.2 para que la redirección URL sea http o https)

    • Opción http: http://<dominio_captive_portal>/login/hotspot/aerohive

    • Opción https: https://<dominio_captive_portal>/login/hotspot/aerohive

    • Password Encryption: No Encryption (Plaintext Password)

  • Authentication Method: PAP

  • Success Page: seleccionar la opción Redirect clients after a successful login attempt y especificar la url a la que se desea redirigir al usuario una vez logado en la red seleccionando la opción To a specified URL. Si se desea configurar la redirección desde la plataforma WIFI debemos rellenar este campo con la siguiente URL, que encontraremos en Octopus Platform, en el apartado WLAN de la Localización:

    • Opción http: http://<dominio_captive_portal>/login/hotspot/landing/wifiarea/WIFIAREA_ID/WLAN_ID

    • Opción https: https://<dominio_captive_portal>/login/hotspot/landing/wifiarea/WIFIAREA_ID/WLAN_ID

  • Failure Page: seleccionar la opción Redirect clients after a failed login attempt y escoger la opción para redirigir a la misma página del portal cautivo To the login page

 

Para obtener los parámetros WIFIAREA_ID y WLAN_ID para completar la URL anterior, acceder a la plataforma WIFI y dentro de la configuración de la Localización acceder a WLAN > Redirecciones por tipo de acceso. A continuación puede obtenerse la URL a configurar para la redirección externa de cada SSID tras la validación del usuario.

 

Por último será necesario añadir el Walled Garden para permitir el libre acceso a ciertos dominios. Para ello hacer click en el botón Añadir para incluir todos los dominios necesarios.

 



Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.



Por último, se debe configurar el Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello será necesario crear dos servidores Radius. Accedemos a Configure > Common Objects > Authentication > External Radius Servers y pulsamos en ADD para añadir los Radius.

El primer servidor deberá ser configurado con los siguientes parámetros:

  • Name: RADIUS1_WIFI

  • IP address Host Name: <IP_Radius_1>

  • Authentication port: 1812

  • Accounting port: 1813

  • Shared secret: <Secret>

 

El segundo servidor deberá ser configurado con los siguientes parámetros:

  • Name: RADIUS2_WIFI

  • IP address Host Name: <IP_Radius_2>

  • Authentication port: 1812

  • Accounting port: 1813

  • Shared secret: <Secret>

A continuación accederemos a Wireless Networks > User Access Settings dentro del SSID a configurar para definir el profile asociado a los clientes que se conecten. Dentro de esta opción se puede configurar por ejemplo la vlan que se asignará a los usuarios.

Por último, es necesario asociar los servidores Radius añadidos anteriormente dentro de la configuración del SSID. Para ello acceder a Authenticate via RADIUS Server y añadir un nuevo RADIUS Server Group con nombre RADIUS_GROUP y hacer click en el botón Select para poder seleccionar los 2 servidores creados anteriormente:

Deploy Policy

Para finalizar la configuración se debe cargar en cada uno de los APs de la instalación los cambios realizados. Para ello dentro de Deploy Policy seleccionar los APs de la lista y pulsar el botón Upload para cargar la nueva configuración.

Dentro de la pestaña emergente seleccionar Complete Configuration Update para realizar una actualización completa en los APs y hacer click en Perform Update para ejecutar la actualización.

Una vez que se ha cargado toda la configuración en los APs es necesario realizar una comprobación. Para ello acceder a los APs por SSH y ejecutar el siguiente comando:

show ip route

Si el direccionamiento IP asignado automáticamente a alguno de los interfaces WiFi coincide con la red 1.1.1.0/24 se deberá cambiar este direccionamiento ya que puede existir algún conflicto con alguna IP pública.

Para modificar el direccionamiento IP del interfaz WiFi en concreto, en este ejemplo sería el interfaz wifi0, ejecutar el siguiente comando modificando el SSID_NAME por el SSID configurado en los APs. (Si el direccionamiento propuesto a continuación está usado por otro interfaz modificarlo por uno que no esté asignado por ningún interfaz).

interface wifi0 ssid SSID_NAME ip 3.3.3.3/24

--

2.2 Configuración proceso login HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.

Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.

Opción HTTPS

Si se elige configurar esta opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP del interfaz virtual de la Wireless Network, de lo contrario las validaciones no se redirigirán al AP y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

Para averiguar la IP del interfaz virtual de la Wireless Network habría que acceder por SSH a un AP y ejecutar el siguiente comando: show ip route:

Archivo adjunto desconocido

En este caso la entrada DNS sería:

securelogin.<dominio_certificado> | 10.0.12.1

 

Lo primero, será cargar un nuevo certificado en el HiveManager asociado al subdomino para realizar el login. Esto podrá realizarse desde Configure > Common Objects > Certificate > Certificate Management.

A continuación hacer click en el botón Import para subir el nuevo certificado configurando los siguientes parámetros:

  • File: seleccionar el archivo proporcionado.

  • File Type: CERT_KEY

 

Tras hacer click en el botón Save el nuevo certificado deberá aparecer en la lista de certificados disponibles:

A continuación es necesario habilitar la autenticación vía HTTPS, para ello acceder a Authentication > Captive Web Portals. Posteriormente seleccionar el Captive Portal que queramos editar, ir a Advanced Configuration y dentro de la opción Security configurar los siguientes parámetros:

  • Enable HTTPS: habilitar esta opción

  • HTTPS certificate: seleccionar el archivo importado anteriormente

  • Override Web server domain name with CN value in the certificate: habilitar esta opción

 

 

2.3 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC asignadas al interfaz WiFi de los APs en los que se radiará el SSID con el portal cautivo. Para ello una vez cargada toda la configuración en los APs es necesario acceder a cada uno de ellos para comprobar la MAC asignada en el interfaz WiFi tanto en 2.4GHz como en 5GHz.

Para poder obtener estos datos abrir una conexión SSH, ejecutar el comando show interface y anotar la dirección MAC que se ha asignado al SSID creado tanto en 2.4GHz como en 5GHz.

 

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para poder realizar este cambio es necesario acceder a los APs mediante SSH. Una vez dentro del modo de configuración ejecutar los siguientes comandos modificando el SSID_NAME por el SSID configurado en los APs.

security-object SSID_NAME security additional-auth-method mac-based-auth security-object SSID_NAME security additional-auth-method mac-based-auth fallback-to-ecwp

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Network Policy en el interfaz gráfico de la plataforma Hive Manager NG.

Para crear el profile acceder al menú Configure > Networks Policies y crear una nueva Network Policy haciendo click en Add Network Policy:

Policy Details

Tras crear la nueva Network Policy, en la primera pestaña de la configuración (Policy Details) únicamente añadir el nombre de la Network Policy y pulsar “SAVE

Wireless Settings

A continuación, dentro de Wireless Networks añadimos un nuevo SSID con la opción All other Networks (standard)

 

 

 

En primer lugar, escogemos un nombre para la red WiFi y posteriormente el nombre que radiará, por ejemplo, Mac_Auth_Guest

 

 

Para configurar el SSID creado, seleccionamos MAC Authentication:

  • Enable MAC Authentication

  • Authenticate via RADIUS Server: Asociar los servidores radius creados en el punto 2.1(radius) de esta guía

Deploy Policy

Para finalizar la configuración se debe cargar en cada uno de los APs de la instalación los cambios realizados.

Para ello dentro de Deploy Policy seleccionar los APs de la lista y pulsar el botón Upload para cargar la nueva configuración.

 

Una vez que se ha cargado toda la configuración en los APs es necesario realizar una comprobación. Para ello acceder a los APs por SSH y seguir los pasos mencionados anteriormente en el final del punto 2.1 del manual.

Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para poder realizar este cambio es necesario acceder a los APs mediante SSH. Una vez dentro del modo de configuración ejecutar los siguientes comandos modificando el SSID_NAME por el SSID configurado en los APs.


3.3 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Aerohive. Aunque están disponibles los dictionarys radius más comunes y propietarios de Aerohive, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario.

Segundos

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus, como un access profile, método de acceso , localización, …

 

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: