Ruckus Unleashed
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en la solución Ruckus Unleashed para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Server
Para configurar todos los parámetros relacionados con el Servidor Radius al que se enviarán las peticiones de validación acceder a Admin & Services > Services > AAA Servers > Authentication Servers y crear dos nuevas entradas, una para el servidor de Radius Authentication y otra para el de Radius Accounting. A continuación se muestran las configuraciones para cada uno de ellos:
Radius Authentication:
Name: RADIUS
Type: RADIUS
Auth Method: PAP
Backup RADIUS: Enable
IP Address First Server: <IP_Radius_1>
Port: 1812
Sharet Secret: <Secret>
Confirm Secret: <Secret>
IP Address Second Server:<IP_Radius_2>
Port:1812
Sharet Secret:<Secret>
Confirm Secret: <Secret>
Request timeout: 3 seconds
Max Numbers of Retries: 2 times
Radius Accounting:
Name: RADIUS_ACC
Type: RADIUS Accounting
Backup RADIUS: Enable
IP Address First Server: <IP_Radius_1>
Port: 1813
Sharet Secret: <Secret>
Confirm Secret: <Secret>
IP Address Second Server:<IP_Radius_2>
Port: 1813
Sharet Secret:<Secret>
Confirm Secret: <Secret>
Request timeout: 3 seconds
Max Numbers of Retries: 2 times
2.2 Captive Portal
Para configurar el portal cautivo de la plataforma WIFI acceder a Admin & Services > Services > Hotspot Services y crear un nuevo Hotspot Service configurando los siguientes parámetros:
Pestaña General
Name: WIFI
WISPr Smart Client Support: None
Login Page (revisar apartado 2.5 para que la redirección de la url sea http o https):
Opción https: https://<dominio_captive_portal>/login/hotspot/ruckus
Opción http: http://<dominio_captive_portal>/login/hotspot/ruckus
After user is authenticated: Seleccionar Redirect to the URL that the user intends to visit si se desea gestionar la redirección desde la plataforma WIFI.
Grace Period: Habilitar e indicar 30 minutos.
Pestaña Authentication
Authentication Server: seleccionar el servidor Radius de Authentication creado anteriormente. En el caso del ejemplo sería: RADIUS
Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente. En el caso del ejemplo sería: RADIUS_ACC
Send Interim-Update every: 10 minutes
Pestaña Walled Garden
Añadir los dominios a los que los usuarios tendrán acceso libre antes de validarse en el portal cautivo.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.3 WLANs
Una vez creado el Hotspot Service se debe asociar al SSID que radiarán los APs. Para ello ir a WiFi Networks y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:
Name: configurar SSID que radiarán los APs.
Usages Type: Hotspot Service
Hotspot Services: seleccionar el portal cautivo creado anteriormente. En el ejemplo sería WIFI
Hide advanced options > Access VLAN: se puede configurar el ID de VLAN asociada al SSID.
2.4 Configuración Called-Station-ID
IMPORTANTE: Es necesario cambiar el formato del Called Station ID que envía el equipo, lo cual únicamente se puede realizar por comandos. Por lo que es necesario acceder al equipo por SSH y una vez dentro del equipo ejecutar los siguientes comandos:
enable, para entrar en modo privilegiado.
config, para entrar en modo configuración global.
wlan nombre_wlan, para entrar en la configuración de la WLAN en cuestión donde se activará el hotspot.
called-station-id-type ap-mac, para cambiar el formato de envío a nuestro servidor.
end, para salirse de la configuración y guardar los cambios realizados
2.5 Opción configuración proceso login: HTTP o HTTPS
Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.
Opción HTTP
Dejando valores por defecto, podremos utilizar esta configuración.
Opción HTTPS
Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP del AP maestro, de lo contrario las validaciones no se redirigirán al AP y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.
Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Para ello acceder a Admin & Services > Administration > Certificate y dentro de la pestaña Import Signed Certificate hacer click en el botón Seleccionar archivo para subir el archivo seleccionado.
El primer certificado que se debe subir es el archivo certificate.pem. Una vez que se ha elegido el archivo, seleccionar la opción Accept this certificate and then install a private key to match your certificate y hacer click en el botón Import.
A continuación es necesario subir el segundo certificado: certificate.key. Una vez seleccionado en el desplegable, seleccionar la opción Install this certificate and additional intermediate certificates y hacer click en el botón Import.
Tras subir la key del certificado es necesario subir el último certificado proporcionado. Para ello, seleccionar el certificado certificate.ca.crt en la pestaña Import Intermediate Certificates y seleccionar la opción Install this intermediate certificate and then reboot y hacer click en el botón Import.
Tras hacer click en Import el controlador se reiniciará para aplicar los cambios.
En el AP Master de Unleashed, el cambio de certificado para el portal cautivo también afecta al certificado que se usa para acceder a la gestión del AP vía web. Por lo que para poder acceder al dispositivo será necesario usar un acceso HTTPS y con la dirección IP del controlador. Si por el contrario se accede mediante HTTP será redirigido al dominio securelogin.<dominio_certificado> y no podrá acceder al equipo si no se ha añadido una entrada estática en el DNS que asocie dicho dominio a la IP del controlador.
2.6 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Estas direcciones MAC son fácilmente accesibles desde Access Points y editando cada uno de los Access Point se observa la MAC Address
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform
3.1 Configuración Captive portal + MAC Authentication
Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI, puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional. Para ello seguir los pasos:
Dirigirse a Admin & Services > Services > Hotspot Services > Seleccionar el que nos interese.
Seleccionar la opción Enable MAC authentication bypass (no redirection)
Seleccionar la opción Use device MAC address as authentication password
3.2 Configuración MAC Authentication.
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a WiFi Networks y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:
Name: configurar SSID por ejemplo Mac_Auth_Guest
Usages Type: Standard
Authenticacion Method: seleccionar MAC Address.
Authenticacion Server: seleccionar el servidor Radius de Authentication creado anteriormente (punto 2.1). En el caso del ejemplo sería: RADIUS
Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente (punto 2.1). En el caso del ejemplo sería: RADIUS_ACC
Hide advanced options > Access VLAN: se puede configurar el ID de VLAN asociada al SSID.
Una vez realizada la configuración anterior dirigirse a Admin & Services > Services > Hotspot Services > Seleccionar el que nos interese.
Seleccionar la opción Enable MAC authentication bypass (no redirection)
Seleccionar la opción Use device MAC address as authentication password
3.3 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Ruckus. Aunque están disponibles los dictionarys radius más comunes y propietarios de Ruckus, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Idle-Timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos. | Segundos |
Acct-Interim-Interval | Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos. | Segundos |
WISPr-Bandwidth-Max-Down | Define límites de velocidad de bajada. Tiene que ser configurado en Bytes. | Bytes |
WISPr-Bandwidth-Max-Up | Define límites de velocidad de subida. Tiene que ser configurado en Bytes. | Bytes |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: