Virtual Controller (Master Aruba iAP)

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Aruba Instant para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1  Configuración WLAN e importación de certificados

Antes de nada habrá que importar los certificados que se usarán en el controlador, para ello en la configuración habrá que dirigirse a Maintenance > Certificates, y hacer click en Upload New Certificate y rellenar los valores:

  • Certificate file to upload: seleccionar el archivo .pem facilitado.

  • Certificate type: Captive portal server.

  • Certificate format: PAM (.pem .cert or .crt)

  • Passphrase: dejar en blanco.

  • Retype Passphrase: dejar en blanco.

Una vez rellenado todos los campos pulsar el botón Upload Certificate y verificar que se ha descargado correctamente:

Comprobar en CLI que se ha añadido correctamente el certificado ejecutando el comando show cert

2.2  WLAN Settings

Para editar una determinada Network en el interfaz gráfica del Virtual Controller. Acceder a Networks y editar la WLAN que consideremos o crear una nueva. Tras abrirse una nueva pestaña con el Wizard de configuración seguir los siguientes pasos:

  • Name (SSID): SSID que radiarán los iAPs.

  • Primary usage: Guest

 

 

2.3  VLAN

  • Client IP assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).

  • Client VLAN assignment: añadir la VLAN que se asociará con el SSID.

2.4  Security

A continuación se debe configurar el portal cautivo externo, para ello introducir los siguientes parámetros:

  • Splash page type: External

  • Captive portal profile: añadir un nuevo Captive Portal Profile con la siguiente configuración:

    • Name: WIFI

    • Type: Radius Authentication

    • IP or hostname: <dominio_captive_portal>

    • URL: /login/hotspot/arubaiap

    • Port: 443

    • Use https: Enabled

    • Captive portal failure: Deny internet

    • Automatic URL whitelisting: Disabled

    • Redirect URL: dejar en blanco para gestionar la redirección desde la plataforma WIFI.

  • Auth server 1: añadir un nuevo Servidor Radius con los siguientes parámetros:

    • Type: RADIUS

    • Name: RADIUS1

    • IP address: <IP_Radius_1>

    • Auth port: 1812

    • Acct port: 1813

    • Shared key: <Secret>

    • Retype key: <Secret>

  • Auth server 2: añadir un nuevo Servidor Radius con los siguientes parámetros:

    • Type: RADIUS

    • Name: RADIUS2

    • IP address: <IP_Radius_2>

    • Auth port: 1812

    • Acct port: 1813

    • Shared key: <Secret>

    • Retype key: <Secret>

  • Reauth interval: 24 hrs

  • Accounting: Use authentication servers

  • Accounting mode: Authentication

  • Accounting interval: 10 min

  • Blacklisting: Disabled

2.5  Access

Por ultimo en Access se debe configurar el rol.

  • Seleccionar la opción role-based (Opción con mayor control)

  • En la sección “Roles”, crear un nuevo role llamado Preauth

  • Añadir nuevas reglas a este role para cada uno de los dominios del walled garden con la siguiente configuración:

    • Rule type: Access control

    • Service: Network - any

    • Action: allow

    • Destination: to domain name

    • Domain name: <dominio_captive_portal>

  •  Assign pre-authenticaction role: seleccionar Preauth

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.


2.6  Configuración Dynamic Radius Proxy (DRP)

Dentro de los iAPs el Dynamic Radius Proxy permite activar la configuración para que todas las peticiones enviadas al servidor Radius se hagan siempre con la IP del Virtual Controller, mientras que si no está activada se realizarían con la IP de cada uno de los APs.

Para habilitar esta opción ir a System > General y habilitar la opción Dynamic Radius Proxy

 

Una vez habilitada esta opción todas las peticiones enviadas al servidor Radius serán enviadas por defecto con la IP del Virtual Controller sin embargo se puede modificar esta IP por defecto para establecer cualquier otra IP aunque no sea la del Virtual Controller.

Para cambiar la IP con la que se envían los mensajes al servidor Radius se debe editar el SSID y dentro de la pestaña Security editar la configuración del servidor Radius modificando los siguientes parámetros:

2.7  Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.

Estas direcciones MAC son fácilmente accesibles dentro de Access Point ubicado en la pestaña principal de configuración del Virtual Controller AP.

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace localizaciones

3- Configuraciones módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para ello dentro de Networks y editar la WLAN en la que se desee activar MAC Authentication. En el wizard de configuración ir a la pestaña Security y modificar los siguientes parámetros:

  • MAC Authenticaiton: Enabled

  • Delimitir character: :

Una vez realizados los cambios hacer click en el botón Next y a continuación hacer click en el botón Finish para guardar los cambios realizados.

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Networks y editar la WLAN que consideremos o crear una nueva. Tras abrirse una nueva pestaña con el Wizard de configuración seguir los siguientes pasos:

  • Name (SSID): configurar SSID por ejemplo Mac_Auth_Guest.

  • Primary usage: Guest

Luego hacemos click en Next

  • Client IP assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).

  • Client VLAN assignment: añadir la VLAN que se asociará con el SSID.

Seguimos haciendo click en Next

  • Splash page type: None

  • MAC authentication: Enable

  • Asociar los servidores radius creados en el punto 2.4 de esta guía

Seguimos con Next

 Una vez hecho esto le damos a Finish.

3.3 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Virtual Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Aruba, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse.

Segundos

Aruba-User-Vlan

Asignación de una VLAN previamente creada en el Virtual Controller

 

Aruba-User-Role

Asignación de un Role previamente creado en el Virtual Controller

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso