Aruba Central
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en redes WiFi gestionadas por Aruba Central, para la integración con Octopus Platform
1- Requerimientos previos
Antes de empezar la configuración hay que logarse en Aruba Central: https://portal.central.arubanetworks.com
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Crear o editar WLAN WiFi Guest
Dentro de DEVICES > ACCESS POINTS > RADIOS > Botón Configuration, crear una o modificar una existente:
Name (SSID): SSID de la red, por ejemplo WiFiGuest
Click Next y configurar:
Client IP Assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).
Client VLAN Assignment: añadir la VLAN que se asociará con el SSID.
Click Next y configurar:
Security Level: Captive Portal
Captive Portal Type: External
Captive Portal Porfile: Click en "+" y configurar:
Name: cp-wifiguest
Authentication Type: RADIUS Authentication
IP or Hostname: <dominio_captive_portal>
URL: /login/hotspot/arubaiap
Port: 443
Use HTTPS: Yes
Captive Portal Failure: Deny Internet
Automatic URL Whitelisting: Disabled
Redirect URL: Dejar en blanco, se gestionará desde plataforma WiFi.
Primary Server. Pulsar en "+" y configurar:
Name: Radius1
IP Address: <IP_Radius_1>
Shared Key: <Secret>
Retype Key: <Secret>
Accounting Port: 1813
Auth Port: 1812
Click OK
Secondary Server. Pulsar en "+" y configurar:
Name: Radius2
IP Address: <IP_Radius_2>
Shared Key: <Secret>
Retype Key: <Secret>
Accounting Port: 1813
Auth Port: 1812
Click OK
Load Balancing: Disabled
Encryption: Disabled
Advanced Settings > MAC Authentication: Disable
Accounting: Use authentication servers
Accounting Interval: 10 min
Click Next y configurar:
Access rules: Role Based
Debajo de Role, pulsar en Add Role y asignar Preauth como nombre. Click OK para crearlo.
Con el Role Preauth seleccionado, debajo de Access Rules for Selected Roles click en Add Rule:
Rule type: Access control
Service: Network - any
Action: Allow
Destination: To Domain Name
Domain name: <dominio_captive_portal>
Pulsar en OK por cada uno de los dominios que se quieren añadir al Walled Garden hasta tener la lista completa.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace
Así mismo añadir la siguiente regla:
Rule type: Access control
Service: Network - any
Action: Deny
Destination: To All Destinations.
Comprobar que esta regla es la última del listado y salvar.
Por último marcar la casilla Assign Pre-authentication Role y seleccionar Preauth
Pulsar en Next y Finish para salvar los cambios.
2.2 Configuración Dynamic Radius Proxy (DRP)
Con la funcionalidad Dynamic Radius Proxy permite activar la configuración para que todas las peticiones enviadas al servidor Radius se hagan siempre con la IP del Virtual Controller, mientras que si no está activada se realizarían con la IP de cada uno de los APs. Para habilitar esta opción acceder a DEVICES > ACCESS POINTS > Botón Show Advanced > SYSTEM
Habilitar opción Dynamic RADIUS Proxy
Una vez habilitada esta opción todas las peticiones enviadas al servidor Radius serán enviadas por defecto con la IP del Virtual Controller, sin embargo se puede modificar esta IP por defecto para establecer cualquier otra IP aunque no sea la del Virtual Controller.
Para cambiar la IP con la que se envían los mensajes al servidor Radius (no aconsejable) se debe editar la WLAN creada y dentro de la pestaña Security editar la configuración de cada servidor Radius modificando los siguientes parámetros:
DRP IP
DRM Mask
DRP VLAN
DRP Gateway
2.3 Configuración proceso login HTTP o HTTPS
Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.
Opción HTTP
A la hora de crear/editar la WLAN, tener en cuenta la siguiente configuración dentro de la pestaña Security:
Security Level: Captive Portal
Captive Portal Type: External
Captive Portal Porfile: Click en "+" y configurar:
Name: cp-wifiguest
Authentication Type: RADIUS Authentication
IP or Hostname: <dominio_captive_portal>
URL: /login/hotspot/arubaiap
Port: 80
Use HTTPS: No
Captive Portal Failure: Deny Internet
Automatic URL Whitelisting: Disabled
Redirect URL: Dejar en blanco, se gestionará desde plataforma WiFi.
Opción HTTPS
En primer lugar, habrá que importar los certificados que se usarán en el controlador para el login de los usuarios. Para ello acceder a Organization > Certificates > Certificate Store y pulsar en el icono + para añadir un nuevo certificado. Rellenar con los siguientes parámetros:
Name: securelogin.<domain_name>.com
Type: Server Certificate
Format: PEM
Passphrase: dejar en blanco.
Retype Passphrase: dejar en blanco.
Certificate File: seleccionar el archivo proporcionado.
Por último debemos de seleccionar el certificado para que se utilice al realizar la validación. Para ello accedemos a DEVICES > ACCESS POINTS > Botón Configuration > Botón Show Advanced > SECURITY > Certificate Usage y lo seleccionamos en Authentication Server y Captive Portal:
Es posible verificar los cambios accediendo por CLI a uno de los APs y verificar que se ha añadido correctamente el certificado con el comando show cert:
2.4 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente en la plataforma WiFi es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.
Estas direcciones MAC son fácilmente accesibles dentro de la pestaña DEVICES > ACCESS POINTS y aparecerá en los detalles de cada AP.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración Captive portal + MAC Authentication
Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Dentro de DEVICES > ACCESS POINTS > RADIOS > Botón Configuration acceder a la WLAN deseada. Una vez dentro acceder a la pestaña Security y por último al submenú Advanced Settings. Configurar con los siguientes parámetros:
MAC Authentication: Enabled.
Use IP for Calling Station ID: Disabled
Delimiter Character: :
Called Station ID Type: MAC Address
Click Save Settings
3.2 Mac Authentication
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Devices > Access Points > Radios > Botón Configuration y crear una WLAN:
Name (SSID): SSID de la red, por ejemplo, Mac_Auth_Guest
Click Next y configurar
Client IP Assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).
Client VLAN Assignment: añadir la VLAN que se asociará con el SSID.
Click Next
Security Level: Open
Advanced Settings
Mac Authentication: Enabled
Called Station ID Type: MAC Address
Asociar los servidores radius creados en el punto 2.1(radius) de esta guía
3.2 Configuración MPSK
Antes de nada configuración la funcionalidad MAC Authentication del apartado 3.1
Primero acceda al apartado Devices > Access points > Wireless Management > Wireless SSIDs y seleccione la configuracion del SSID que desea configurar.
En el apartado Security, configurar:
Security level: Personal
Key management: MPSK AES
Primary Server: Seleccionar el radius server creado en el apartado 2.1
Configuración plataforma Octopus > Access Profile
Atributos radius a configurar:
Aruba-MPSK-Passphrase := (proxy-reply:Tunnel-Password)
3.4 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en Aruba Central. Aunque están disponibles los dictionarys radius más comunes y propietarios de Aruba, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Idle-timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. | Segundos |
Aruba-User-Vlan | Asignación de una VLAN previamente creada en Aruba Central |
|
Aruba-User-Role | Asignación de un Role previamente creado en Aruba Central |
|
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: