ZyXEL NXC

Owned by David López Frutos (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
6 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento NXC2500 de ZyXEL para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Configuración WLAN

El primer paso es crear un nuevo SSID o modificar uno ya existente, para ello acceder a Configuration > Object > AP Profile y seleccionar la pestaña SSID. Una vez dentro hacer click en Add para añadir un nuevo SSID profile y configurar los siguientes parámetros:

  • Profile Name: WiFi_GUEST

  • SSID: indicar SSID que radiarán los APs.

  • VLAN ID: indicar la vlan asociada al SSID.

 

2.2 Radius Server

A continuación hay que incluir el Servidor Radius. Para ello acceder a Configuration > Object > AAA Server y acceder a la pestaña RADIUS. Hacer click en Add para añadir un nuevo Servidor Radius y configurar:

  • Name: RADIUS

  • Authentication Server Settings

    • Server Address: <IP_Radius_1>

    • Authentication Port: 1812

    • Backup Server Address: <IP_Radius_2>

    • Backup Authentication Port: 1812

    • Key: <Secret>

 

  • Accounting Server Settings

    • Server Address: <IP_Radius_1>

    • Accounting Port: 1813

    • Backup Server Address: <IP_Radius_2>

    • Backup Authentication Port: 1813

    • Key: <Secret>

    • Accounting Interim Update: habilitar esta opción

    • Interim Interval: 10

  • General Server Settings:

    • Timeout: 5

    • NAS Identifier: ZYXEL

 

Una vez añadido el Servidor Radius acceder a Configuration > Object > Auth. Method para añadir un nuevo método de Authentication asociado al Servidor Radius añadido. Hacer click en Add configurar los siguientes parámetros:

  • Name: WIFI

  • Method List: añadir el servidor Radius creado anteriormente, group RADIUS

2.3 Captive Portal

A continuación hay que configurar el Portal Cautivo externo para ello ir a Configuration > Captive Portal y acceder a la pestaña Captive Portal. Una vez dentro configurar los siguientes parámetros:

  • Enable Captive Portal: marcar esta casilla para habilitar el portal cautivo.

  • External Web Portal: seleccionar esta opción.

    • Login URL: https://<dominio_captive_portal>/login/hotspot/zyxel

  • Authenticated Method: seleccionar el método de autenticación creado anteriormente WIFI

Tras realizar estos cambios hacer click en el botón Apply para que se guarde correctamente la configuración realizada.

2.4 Walled Garden

En este caso no es posible incluir dominios en el walled garden por lo que es necesario realizarlo añadiendo las direcciones IP. Para ello ir a Configuration > Object > Address y hacer click en Add para añadir cada una de las direcciones IP necesarias.

Para consultar las direcciones IP a incluir ir al siguiente enlace.

2.5 Authentication Policy

Una vez añadidas las direcciones IP a las que el usuario tendrá libre acceso es necesario crear una Authenticaion Policy que asocie dichas IPs a una determinada regla. Para ello ir a Configuration > Captive Portal y acceder a la pestaña Redirect on AP.A continuación añadir un nuevo Authentication Policy Rule para cada una de las direcciones IP utilizadas anteriormente con la siguiente configuración:

  • General Settings

    • Enable Policy: Activar esta casilla.

    • Profile Name: Añadir cada uno de las Policy Rule creadas

  • Accounting Server Settings

    • SSID: any

    • Source Address: any

    • Destination Address: WIFI

    • Schedule: none

    • Authentication: unnecessary

Tras añadir todas las Policy Rule es necesario añadir una regla que bloquee el acceso al resto de direcciones. Para ello añadir una nueva regla con la siguiente configuración:

  • General Settings

    • Enable Policy: Activar esta casilla.

    • Profile Name: BLOCK

  • Accounting Server Settings

    • SSID: any

    • Source Address: any

    • Destination Address: any

    • Schedule: none

    • Authentication: force

Por último añadir un nuevo Authentication Policy Group que contenga las Policy Rule creadas anteriormente. Para ello realizar la siguiente configuración:

  • General Settings

    • Profile Name: WIFI

  • Añadir cada uno de las reglas creadas anteriormente. En este caso es importante que la regla denominada BLOCK se encuentre en la última posición de la lista.

Tras realizar todos estos cambios hacer click en el botón Apply para que se guarde correctamente toda la configuración realizada.

2.6 Access Point

Para finalizar será necesario asociar todos los Profiles creados anteriormente al AP Group asociado a los APs de la instalación. Para ello ir a Configuration > Wireless >AP Management y acceder a la pestaña AP Group. Una vez dentro de esta pestaña de configuración añadir un nuevo AP Group o seleccionar uno ya existente para modificarlo configurando los siguientes parámetros:

  • General Settings

    • Group Name: Nombre del AP Group

  • Radio 1 Setting:

    • Seleccionar el SSID Profile creado anteriormente, en este caso WIFI_GUEST

  • Radio 2 Setting:

    • Seleccionar el SSID Profile creado anteriormente, en este caso WIFI_GUEST

 

  • Portal Redirect on AP

    • Policy Group: Seleccionar el Policy Group creado anteriormente, en este caso WIFI

    • Skip authentication to provide contingency access while controller is unreachable: deshabilitar esta opción

 

2.7 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Para poder obtener estas direcciones MAC fácilmente ir a Monitor > Wireless > AP Information y buscar la columna en la que aparece la MAC de cada uno de los APs.

 

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Zyxel. Aunque están disponibles los dictionarys radius más comunes y propietarios de Zyxel, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Format

Atributo

Descripción

Format

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Seconds

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso