CnMaestro

Owned by David López Frutos (Unlicensed)
Last updated: Oct 15, 2021 by Santiago Nanclares (Unlicensed)
6 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cambium Networks mediante el controlador cnMaestro para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

En primer lugar, se debe configurar el Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello será necesario crear dos servidores Radius. Dentro de la pestaña AAA Servers en la configuración de la WLAN se deben añadir los servidores de Autenticación y de Accounting, para ello configurar los siguientes parámetros.

  • Authentication Server

    • Host: <IP_Radius_1>

    • Secret: <Secret>

    • Port: 1812

    • Host: <IP_Radius_2>

    • Secret: <Secret>

    • Port: 1812

  • Accounting Server

    • Host: <IP_Radius_1>

    • Secret: <Secret>

    • Port: 1813

    • Host: <IP_Radius_2>

    • Secret: <Secret>

    • Port: 1813

    • Accounting Mode: Start-Interim-Stop

    • Interim Update Interval: 600

 

2.2 Captive Portal

Para configurar todos los parámetros relacionados con el Captive Portal externo ir a la pestaña Guest Access dentro de la configuración de la WLAN y realizar la siguiente configuración:

Basic Settings

  • Enable: marcar esta opción para habilitar el portal cautivo.

  • Portal Mode: External Hotpost

  • Access Policy: RADIUS

  • Redirect Mode: HTTP/HTTPS (elegir una opción dependiendo del tipo de validación del portal cautivo)

  • External Page URL: 

    • Opción http: http://<dominio_captive_portal>/login/hotspot/cambium

    • Opción https: https://<dominio_captive_portal>/login/hotspot/cambium

  • External Portal Type: Standard

  • Success Action:Seleccionar la opción Redirect User to Original URL para gestionar la redirección desde la plataforma.

Advanced Settings

  • Inactivity Timeout: 900

2.3 Walled Garden

Por último dentro de la configuración de la WLAN es necesario añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en la red. Para ello acceder a Guest Access, acceder a Whitelist y añadir los dominios necesarios.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Tras realizar todos los cambios detallados anteriormente hacer click en el botón Save para guardar toda la configuración realizada y crear la WLAN configurada.

2.4 Configuración WLAN

El primer paso es crear un nuevo SSID o modificar uno ya existente, para ello acceder a WLANs y hacer click en el botón New WLAN y llevar a cabo la siguiente configuración:

  • Basic Information

    • Name: Nombre identificativo de la red WiFi

  • Basic Settings

    • SSID: configurar el nombre de red o SSID

    • Enable: marcar esta casilla para habilitar el SSID.

    • VLAN: configurar la vlan correspondiente.

  •  Advanced Settings

    • Inactivity Timeout: 900

2.5 AP Groups

Una vez guardada toda la configuración de la WLAN en la que aparecerá el portal cautivo se debe asociar esta WLAN al AP Group en el que se encuentren los Access Points que deben radiar el nuevo SSID. Para ello acceder a AP Groups y seleccionar el AP Group correspondiente. Dentro de la pestaña Configuration > Basic añadir la nueva WLAN creada. Para ello hacer click en el botón Add WLAN y seleccionar la WLAN dentro del desplegable que aparece.

Tras realizar esta configuración hacer click en el botón Save para guardar todos los cambios realizados.

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario determinar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Para poder obtener estas direcciones MAC fácilmente acceder a Ap Groups y seleccionar el AP Group al que pertenezcan los Access Points de la instalación. Una vez dentro del mismo ir a la pestaña APs donde se puede consultar la dirección MAC de cada uno de los APs.

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para ello acceder a WLANs y seleccionar la WLAN a modificar. Una vez dentro acceder a la configuración e ir a la pestaña Guest Access para dentro de Advanced Settings habilitar la siguiente opción:

MAC Authentication Fallback: Use guest-access only as fallback for clients failing MAC authentication.

3.2 MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a WLANs y hacer click en el botón New WLAN y llevar a cabo la siguiente configuración:

  • Basic Information

    • Name: Nombre identificativo de la red WiFi

  • Basic Settings

    • SSID: configurar el nombre de red o SSID por ejemplo Mac_Auth_Guest

    • Enable: marcar esta casilla para habilitar el SSID.

    • VLAN: configurar la vlan correspondiente.

  • Advanced Settings

    • Inactivity Timeout: 900

Guest Access:

  • Disable: Deshabilitar el portal cautivo.

  • Success Action: Seleccionar la opción Redirect User to Original URL para gestionar la redirección desde la plataforma.

Advanced Settings

  • Inactivity Timeout: 900

Access control:

  • Policy: RADIUS

  • Delimiter: :

  • Password: deshabilitar esta opción

3.3 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Cambium. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cambium, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario.

Segundos

WISPr-Bandwidth-Max-Down

Define límites de velocidad de Bajada.

Bytes

WISPr-Bandwidth-Max-Up

Define límites de velocidad de subida.

Bytes

CAMB-Traffic-Quota-Limit-Up

Define la cuota de trafico límite de subida.

Bytes

CAMB-Traffic-Quota-Limit-Down

Define la cuota de trafico límite de Bajada.

Bytes

Mikrotik-Group

Asignación de un Rol Name/ Profile, previamente creado

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso