TPLink - AC Controller

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento AC500 de TP-Link para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal: 

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

 2- Configuración módulo Guest

2.1 Radius Servers

Para incluir el Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios acceder a Authentication > Authentication Server y acceder a la pestaña Radius Server. Una vez dentro hacer click en Add para añadir un nuevo Servidor Radius y configurar los siguientes parámetros:

  • Server Name: RADIUS

  • Server Address: <IP_Radius_1>

  • Authentication Port: 1812

  • Billing Port: 1813

  • Share Key: <Secret>

  • Authentication Method: PAP

 

Una vez añadido el Servidor Radius hay que asociarlo a un grupo para ello acceder a Authentication > Authentication Server y acceder en este caso a la pestaña Authentication Server Group. Tras hacer click en Add para añadir un nuevo grupo de servidores configurar los siguientes parámetros:

  • Group Name: RADIUS_GROUP

  • Authentication Type: Radius

  • Main Server: RADIUS

2.2 Configuración WLAN

El siguiente paso para llevar a cabo la configuración en el equipamiento TP-Link es crear un nuevo SSID o modificar uno ya existente, para ello acceder a Wireless > Wireless Service y hacer click en Add para añadir una nueva WLAN con los siguientes parámetros:

  • Status: Enable

  • SSID: indicar el SSID que radiarán los APs

  • Security: No Security

2.3 Captive Portal

El siguiente paso es configurar el Portal Cautivo externo para ello acceder a Authentication > Portal Authentication y acceder a la pestaña Remote Portal. Una vez dentro hacer click en Add para añadir un nuevo portal cautivo externo y configurar los siguientes parámetros:

  • Status: On

  • Splash Page: PORTAL_WIFI

  • SSID: Seleccionar el SSID creado anteriormente en el que aplicará el portal cautivo.

  • Remote Portal Address: http://<dominio_captive_portal>/login/hotspot/tplink/AC_IP

  • Authentication Server Type: Remote Authentication Server

  • Authentication Server Group: Seleccionar el grupo de servidores creado anteriormente.

Cambiar el parámetro AC_IP por la dirección IP del controlador TP-LINK. Ejemplo: https://<dominio_captive_portal>/login/hotspot/tplink/192.168.1.50

2.4 Walled Garden

Por último es necesario indicar los dominios a los que el usuario tendrá acceso libre antes de autenticarse en la red. Para ello acceder a Authentication > Authentication Config y acceder a la pestaña Free Authentication Policy.

Una vez dentro hacer click en Add para añadir cada uno de los dominios necesarios con la siguiente configuración:

  • Strategy Name: añadir un nombre diferente para cada regla

  • Match Mode: URL Type

  • URL Address: añadir la URL del dominio a configurar

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Una vez realizados estos cambios ir a la pestaña Authentication Parameters, dentro de la configuración Authentication Config, y configurar los siguientes parámetros:

  • Authentication Aging: enable

  • Aging Time: 15

  • Portal Authentication Port: 8080

2.5 AP Group

Para finalizar la configuración de los Access Points hay que asociar el SSID creado al AP Group que contenga los APs donde se radiará la WLAN creada. Para ello acceder a Wireless > Wireless Service y tras seleccionar el SSID creado hacer click en Radio Binding.

Tras ello seleccionar el AP Group dentro del desplegable Select the Group y seleccionar los APs en los que se desea radiar el SSID (tanto en 2.4GHz como en 5GHz) y finalmente hacer click en la opción Bound para que los APs comiencen a radiar el SSID.

 

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.

Para poder obtener estas direcciones MAC fácilmente acceder a Status > AP Status y tras seleccionar el AP Group de la instalación que contenga los Access Points se pueden obtener todas las direcciones MAC de los APs en la columna MAC Address.

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Omada Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Omada, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: