Virtual Controller (Master Aruba iAP)
- Marce De Miguel (Unlicensed)
- Pedro Doroshenko
- Adrián Macarro (Unlicensed)
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Aruba Instant para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Configuración WLAN e importación de certificados
Antes de nada habrá que importar los certificados que se usarán en el controlador, para ello en la configuración habrá que dirigirse a Maintenance > Certificates, y hacer click en Upload New Certificate y rellenar los valores:
Certificate file to upload: seleccionar el archivo .pem facilitado.
Certificate type: Captive portal server.
Certificate format: PAM (.pem .cert or .crt)
Passphrase: dejar en blanco.
Retype Passphrase: dejar en blanco.
Una vez rellenado todos los campos pulsar el botón Upload Certificate y verificar que se ha descargado correctamente:
Comprobar en CLI que se ha añadido correctamente el certificado ejecutando el comando show cert
2.2 WLAN Settings
Para editar una determinada Network en el interfaz gráfica del Virtual Controller. Acceder a Networks y editar la WLAN que consideremos o crear una nueva. Tras abrirse una nueva pestaña con el Wizard de configuración seguir los siguientes pasos:
Name (SSID): SSID que radiarán los iAPs.
Primary usage: Guest
2.3 VLAN
Client IP assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).
Client VLAN assignment: añadir la VLAN que se asociará con el SSID.
2.4 Security
A continuación se debe configurar el portal cautivo externo, para ello introducir los siguientes parámetros:
Splash page type: External
Captive portal profile: añadir un nuevo Captive Portal Profile con la siguiente configuración:
Name: WIFI
Type: Radius Authentication
IP or hostname: <dominio_captive_portal>
URL: /login/hotspot/arubaiap
Port: 443
Use https: Enabled
Captive portal failure: Deny internet
Automatic URL whitelisting: Disabled
Redirect URL: dejar en blanco para gestionar la redirección desde la plataforma WIFI.
Auth server 1: añadir un nuevo Servidor Radius con los siguientes parámetros:
Type: RADIUS
Name: RADIUS1
IP address: <IP_Radius_1>
Auth port: 1812
Acct port: 1813
Shared key: <Secret>
Retype key: <Secret>
Auth server 2: añadir un nuevo Servidor Radius con los siguientes parámetros:
Type: RADIUS
Name: RADIUS2
IP address: <IP_Radius_2>
Auth port: 1812
Acct port: 1813
Shared key: <Secret>
Retype key: <Secret>
Reauth interval: 24 hrs
Accounting: Use authentication servers
Accounting mode: Authentication
Accounting interval: 10 min
Blacklisting: Disabled
2.5 Access
Por ultimo en Access se debe configurar el rol.
Seleccionar la opción role-based (Opción con mayor control)
En la sección “Roles”, crear un nuevo role llamado Preauth
Añadir nuevas reglas a este role para cada uno de los dominios del walled garden con la siguiente configuración:
Rule type: Access control
Service: Network - any
Action: allow
Destination: to domain name
Domain name: <dominio_captive_portal>
Assign pre-authenticaction role: seleccionar Preauth
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.6 Configuración Dynamic Radius Proxy (DRP)
Dentro de los iAPs el Dynamic Radius Proxy permite activar la configuración para que todas las peticiones enviadas al servidor Radius se hagan siempre con la IP del Virtual Controller, mientras que si no está activada se realizarían con la IP de cada uno de los APs.
Para habilitar esta opción ir a System > General y habilitar la opción Dynamic Radius Proxy
Una vez habilitada esta opción todas las peticiones enviadas al servidor Radius serán enviadas por defecto con la IP del Virtual Controller sin embargo se puede modificar esta IP por defecto para establecer cualquier otra IP aunque no sea la del Virtual Controller.
Para cambiar la IP con la que se envían los mensajes al servidor Radius se debe editar el SSID y dentro de la pestaña Security editar la configuración del servidor Radius modificando los siguientes parámetros:
2.7 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.
Estas direcciones MAC son fácilmente accesibles dentro de Access Point ubicado en la pestaña principal de configuración del Virtual Controller AP.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace localizaciones
3- Configuraciones módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración Captive portal + MAC Authentication
Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para ello dentro de Networks y editar la WLAN en la que se desee activar MAC Authentication. En el wizard de configuración ir a la pestaña Security y modificar los siguientes parámetros:
MAC Authenticaiton: Enabled
Delimitir character: :
Una vez realizados los cambios hacer click en el botón Next y a continuación hacer click en el botón Finish para guardar los cambios realizados.
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Networks y editar la WLAN que consideremos o crear una nueva. Tras abrirse una nueva pestaña con el Wizard de configuración seguir los siguientes pasos:
Name (SSID): configurar SSID por ejemplo Mac_Auth_Guest.
Primary usage: Guest
Luego hacemos click en Next
Client IP assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).
Client VLAN assignment: añadir la VLAN que se asociará con el SSID.
Seguimos haciendo click en Next
Splash page type: None
MAC authentication: Enable
Asociar los servidores radius creados en el punto 2.4 de esta guía
Seguimos con Next
Una vez hecho esto le damos a Finish.
3.3 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Virtual Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Aruba, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Idle-timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. | Segundos |
Aruba-User-Vlan | Asignación de una VLAN previamente creada en el Virtual Controller |
|
Aruba-User-Role | Asignación de un Role previamente creado en el Virtual Controller |
|
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso