Cisco Meraki

Owned by David López Frutos (Unlicensed)
Last updated: Oct 15, 2021 by Santiago Nanclares (Unlicensed)
6 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cisco Meraki para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

 

2- Configuración módulo Guest

2.1 Radius Servers

Para configurar el Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios configurar los siguientes parámetros dentro de Wirelles > Configure > Access Control:

  • SSID (name): Nombre del SSID de la red, debe ser igual que el configurado en la plataforma

  • SSID status: Enabled

  • Association requirements: Open (no encryption)

  • Splash page: Sign-on with my RADIUS server

  • RADIUS servers: añadir un nuevo Servidor Radius

    • Host: <IP_Radius_1>

    • Auth port: 1812

    • Secret: <Secret>

    • Host: <IP_Radius_2>

    • Auth port: 1812

    • Secret: <Secret>

  • RADIUS accounting: RADIUS accounting is enabled

  • RADIUS accounting servers: añadir un nuevo Servidor Radius

    • Host: <IP_Radius_1>

    • Port: 1813

    • Secret: <Secret>

    • Host: <IP_Radius_2>

    • Port: 1813

    • Secret: <Secret>

  • Failover policy: Deny access

 

 

Si no está habilitada la opción para añadir un servidor Radius de Accounting será necesario abrir un caso de soporte con Meraki. Para ello ir a Help > Cases > New Case y explicarles el motivo del caso en la descripción. Ej. "Please could you enable Radius Accounting settings for this site?".

2.2 Captive portal

Acceder a Wireless > Configure > Splash page y seleccionar el SSID sobre el que deseamos configurar el portal cautivo externo:

  • Custom splash URL: https://<dominio_captive_portal>/login/hotspot/meraki/SSID

  • Splash behavior

    • Splash frequency: Every half hour

    • Where should users go after splash page?: The URL they were trying to fetch. De esta forma, se podrá configurar la URL a la que se redirigirán los usuarios tras validarse desde la plataforma WIFI.

Cambiar el parámetro SSID en la URL anterior por el nombre del SSID que radiarán los APs. Ejemplo: https://<dominio_captive_portal>/login/hotspot/meraki/WIFI_GUEST

Una vez realizados estos cambios hacer click en Save Changes para guardar la configuración.

2.3 Walled Garden

Para configurar los dominios a los que los usuarios tendrán libre acceso antes de validarse en el portal cautivo se deben configurar los siguientes parámetros dentro de Access Control > Advanced Settings

  • Captive portal strenght: Block all access until sign-on is complete

  • Walled garden: Enabled

  • Walled garden ranges: Incluir dominios a los que el usuario tendrá acceso libre

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.4 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.

Las direcciones MAC de los APs Meraki son fácilmente accesibles dentro de Wireless > Monitor > Access Points

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 MAC Caching

Para configurar un SSID dedicado a la validación por MAC Authentication crear uno nuevo y dirigirse a Wireless > Access Control para configurarlo:

  • Security: MAC-based access control

  • Splah Page: None (direct access)

 

  • Radius

    • Radius Servers: Añadir servidores Radius explicados en el apartado 2.1 de esta guía

    • Radius accounting servers: Añadir servidores Radius explicados en el apartado 2.1 de esta guía

  • Advanced Settings

    • Called-station-ID

      • Category 1: AP MAC address

      • Category 2: SSID name

 

 

3.2 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Cisco Meraki. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cisco, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Format

Atributo

Descripción

Format

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario.

Segundos (mínimo 300 seg.)

Maximum-Data-Rate-Downstream

Definen límites de velocidad de bajada para una determinada sesión.

Bytes

Maximum-Data-Rate-Upstream

Definen límites de velocidad de subida para una determinada sesión.

Bytes

Filter-ID

Asigna una policy al usuario. Policy en la que se pueden configurar políticas de tráfico y QoS

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

3.3 Configuración Identity PSK

Algunos dispositivos que se conectan a nuestras redes, especialmente dispositivos IoT, no tienen la capacidad de realizar conexiones a través de validaciones seguras como 802.1X y por ello se conectan a través de validaciones WPA-PSK. Este tipo de validación tiene inconvenientes de seguridad ya que la clave es única y cualquier dispositivo puede conectase. La funcionalidad Identity PSK de Cisco, permite un doble factor de autenticación a través de filtrado MAC y claves PSK, que pueden ser asignadas por dispositivo o grupos de dispositivo, permitiendo seguridad y control a gran escala. Para configurar la identificación por PSK:

Configuración Cisco Meraki

Acceder al apartado Access control para configurar el SSID

  • Network access: Identity PSK with RADIUS

  • Splash page: None (direct access)

 

  • RADIUS servers:

    • Server 1: Configurado en el punto 2.1 del manual

    • Server 2: Configurado en el punto 2.1 del manual

  • Radius accounting: Radius accounting is enabled

  • Radius accounting servers

    • Server 1: Configurado en el punto 2.1 del manual

    • Server 2: Configurado en el punto 2.1 del manual

Configuración plataforma Octopus > Access Profile

Atributos radius a configurar:

  • cisco-av-pair = “psk-mode=ascii”

  • cisco-av-pair += “psk=password”

Posible combinar con local policy con el atributo

  • cisco-av-pair +=”role=policyCiscoMeraki”