Omada Controller v5

Owned by Santiago Nanclares (Unlicensed)
Last updated: Jul 24, 2023 by Jorge Márquez Torres
5 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de TP-Link usando la plataforma Omada Controller para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Configuración WLAN

El primer paso es crear un nuevo WLAN Group. Para ello acceder a Settings > Wireless Networks y añadir un nuevo WLAN Group pulsando sobre el icono Create New Group:

 

Rellanar con el nombre deseado y pulsar Apply:

 

Una vez añadido, crear un SSID asociado a este nuevo WLAN Group. Para ello pulsamos sobre el botón Create New Wireless Network y rellenar con los siguientes parámetros:

  • SSID Name: Indicar el SSID que radiarán los APs

  • Band: Habilitar 2.4GHz y 5GHz

  • Guest Network: Deshabilitado

  • Security Mode: None

 

Por último dentro de Advanced Settings activaremos la opción SSID Broadcast para hacer visible el SSID:

 

2.2 Radius Servers

Ahora añadiremos los radius con los cuales se van a usar para la validacion en el portal cautivo, para ello accedemos a Settings > Authentication > RADIUS Profile y hacemos click en Create New RAIUS Profile y rellenamos con los siguientes parametros:

  • Authentication Server IP: <IP_Radius_1>

  • Authentication Port: 1812

  • Authentication Password: <Secret>

  • Radius Accounting: Enable

  • Interim Update: Enable

  • Interim Update Interval: 600

  • Accounting Server IP: <IP_Radius_1>

  • Accounting Server Port:1813

  • Accounting Password: <Secret>

2.3 Captive Portal

A continuación, añadir el nuevo Splash Portal para la validación de los usuarios. Para ello, acceder a Settings > Authentication > Portal y pulsar sobre el icono Create New Portal. Una vez abierto el desplegable, completar los siguientes parámetros:

  • Portal Name: Nombre identificativo del portal.

  • SSID: Seleccionar el SSID creado anteriormente.

  • Authentication Type: External RADIUS Server

  • Portal Customization: External Web Portal

  • External Web Portal URL: https://<dominio_captive_portal>/login/hotspot/omada

2.4 Walled Garden

El siguiente paso sería indicar los dominios a los que el usuario tendrá acceso libre antes de autenticarse en la red. Para ello acceder a Settings > Authentication > Portal > Access control:

 

Para añadir los dominios de acceso libre, haga click en el icono Add y añada cada uno de los dominios necesarios con la siguiente configuración:

  • Mode: URL Type

  • URL: añadir la URL del dominio a configurar

 

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.5 Configuración APs

Para finalizar la configuración de los Access Points hay que asociar los APs al WLAN Group que contiene el SSID creado. Para ello acceder a Devices y seleccionar los APs que deseamos que radien el SSID.

Tras ello, pulsar sobre la opción Configuration y seleccionar la pestaña WLANS. Finalmente seleccionar el WLAN Group creado al principio.

 

2.6 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.

Estas direcciones MAC son fácilmente accesibles dentro de la sección Devices, columna Device name.

 

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración Captive portal + MAC Authentication

Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional.

Dirigirse a Settings > Authentication > MAC-Based Authentication y activar la función MAC-Based Authetication

  • SSID: Seleccionar la WLAN creada en el punto 2.1 de esta guía.

  • RADIUS Profile: Asociar los servidores radius creados en el punto 2.2 de esta guía

  • MAC Address Format: Seleccionar el formato de las MAC

  • MAC-Based Authentication Fallback: Disable

  • Empty Password: Enable

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Wireless Settings > Wireless Networks y añadir un nuevo WLAN pulsando sobre + Create New Wireless Network:

  • SSID Name: configurar SSID que radiarán los APs por ejemplo Mac_Auth_Guest

  • Band: Habilitar 2.4GHz y 5GHz

  • Guest Network: Deshabilitado

  • Security Mode: None

Por último, dentro de Advanced Settings activaremos la opción SSID Broadcast para hacer visible el SSID:

Una vez hecho esto dirigirse al apartado Settings > Authentication > MAC-Based Authentication y activar la función MAC-Based Authetication

  • SSID: Seleccionar la WLAN creada.

  • RADIUS Profile: Asociar los servidores radius creados en el punto 2.2 de esta guía

  • MAC Address Format: Seleccionar el formato de las MAC

  • MAC-Based Authentication Fallback: Enable

3.3 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Omada Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Omada, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso