Arista / WatchGuard
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Arista Networks o WatchGuard para la integración con Octopus Platform.
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Server
El primer paso es añadir toda la configuración de los servidores Radius. Para ello acceder a Configuration > RADIUS Profiles > Add RADIUS Profile y crear uno con los siguientes parámetros:
Profile Name: RADIUS1
IP Address: <IP_Radius_1>
Authentication Port: 1812
Accounting Port: 1813
Shared secret: <Secret>
Tras hacer click en OK, configurar los parámetros del segundo servidor Radius con los siguientes datos:
Profile Name: RADIUS2
IP Address: <IP_Radius_2>
Authentication Port: 1812
Accounting Port: 1813
Shared secret: <Secret>
Hacer click en Save para guardar los cambios
2.2 Configuración WLAN
El primer paso es crear una nueva red WLAN. Para ello acceder a la pestaña Configuration > Device Configuration > SSID Profiles, para añadir una nueva WLAN hacer click en Add New WiFi Profile
Añadir un nombre para el nuevo profile así como el SSID que radiarán los APs.
En la pestaña Security seleccionar Open como método de autenticación para la nueva WLAN creada
2.3 Captive Portal
En cuanto a la configuración necesaria para habilitar un portal cautivo externo se debe llevar a cabo dentro de Captive Portal en la página de configuración del SSID creado. En primer lugar, marcar la opción Enable Captive Portal y seleccionar dentro de las posibles opciones que aparecen External Splash Pag with RADIUS Authenticaction y rellenar los campos con la siguiente información:
Splash Page URL: https://<dominio_captive_portal>/login/hotspot/mojo
Shared Secret: xieylpgxoypwzqtb
En el siguiente paso vamos a seleccionar el servidor Radius para el SSID, haciendo click en Radius Settings en la propia página de configuración. Dentro del desplegable que aparece rellenar todos los campos con los siguientes parámetros y seleccionar el Radius de Autenticación y Accounting creados anteriormente:
Authentication
Called Station ID: %m:%s
NAS ID: %m:%s
Primary Authentication Server:
RADIUS1
Secondary Authentication Server:
RADIUS2
Accounting (se debe habilitar esta opción para realizar el control de las sesiones)
Interval: 10 mins
Primary Accounting Server:
RADIUS1
Secondary Accounting Server:
RADIUS2
Un vez rellenados todos los parámetros hacer click en el botón Save para guardar los cambios realizados.
El siguiente paso es introducir los parámetros que enviará el AP en el HTTP redirect. Para ello, acceder a la opción Advanced Parameters y rellenar todos los campos con la siguiente configuración:
Request Attributes:
Request Type: res
Challenge: challenge
Client MAC Address: client_mac
AP MAC Address: ap_id
AP IP Address: uamip
AP Port Number: uamport
Failure Count: failure_count
Requested URL: userurl
Login URL: login_url
Logoff URL: logoff_url
Remaining Blackout Time: blackout_time
Service Identifier: service_id
Por otro lado, dentro del mismo desplegable es necesario rellenar también los campos que aceptará el AP como respuesta, dentro de estos campos se incluye el username y password y la url a la que se redirigirá al usuario tras su validación. A continuación se detallan los parámetros que se deben incluir:
Request Attributes:
Challenge: challenge
Response Type: res
Challenge Response: digest
Redirect URL: redirect
Login Timeout: session_timeout
Username: username
Password: password
Una vez rellenados los campos hacer click en Save para guardar los cambios realizados.
2.4 Walled Garden
Por ultimo dentro de la configuración de la WLAN es necesario incluir los dominios a los que se debe permitir acceso libre dentro del walled garden. Para ello, hacer click en Captive Portal y posteriomente en Add en Walled Garden Sites y añadir todos los dominios necesarios dentro del desplegable que parece.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
Una vez realizados todos los cambios tanto en Security como en Captive Portal se debe salvar la configuración haciendo click en Save.
2.5 Device Templates
Una vez configurado el portal cautivo externo se debe asociar la WLAN creada dentro de un template. Para ello ir a Configuration > Device Configuration > Device Template y hacer click en Add Device Template para crear uno nuevo o modificar uno ya existente. Dentro de las opciones de configuración fijar los siguientes parámetros.
Template Name: Template Name
A continuación, hay que añadir la WLAN creada anteriormente. Para ello acceder a Radio Settings y hacer click en Universal Configuration, dentro del desplegable que aparece seleccionar Add SSID Profile y seleccionar el SSID profile que contiene el captive portal:
Una vez añadida el SSID Profile tanto en la banda de 2,4GHz como en la de 5GHz hacer click en Save para guardar todos los cambios.
Al salvar los cambios si no se ha configurado ninguna contraseña para el acceso a los APs dentro del Template aparecerá un error. Por lo que será necesario añadir una contraseña para poder guardar los cambios realizados. Para ello ir a Device Settings > Device Password y añadir la contraseña para el acceso a los APs.
2.5 Managed devices
Para terminar la configuración de los APs de la instalación es necesario asociar el Device Template creado anteriormente a los APs en los que se desee que se radie el SSID creado. Para ello, acceder a Monitoring > Managed Devices y una vez dentro seleccionar todos los APs de la instalación que deban radiar el SSID creado anteriormente y hacer click en el botón que aparece al final de la página para cambiar la Template asociada a los APs.
Tras hacer click en dicho botón seleccionar la Template creada en el desplegable y confirmar que deseamos realizar estos cambios.
Por último comprobar que una vez realizados estos cambios se ha asociado la template en los APs.
2.6 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. Se deben añadir la dirección MAC de todos los APs. Estas direcciones MAC son fácilmente accesibles dentro de Monitoring > Managed Devices:
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform
3.1 Configuración Captive portal + MAC Authentication
Para activar la autenticación por MAC es necesario editar la WLAN en uso.
Para ello acceder a a Configuration > Device Configuration > SSID Proflies y seleccionar el SSID profile creado anteriormente para poder editar su configuración y una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication
A continuación, marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:
Asociar los servidores radius creados en el punto 2.3 (apartado Radius) de esta guía
Authentication
Called Station ID: %m:%s
NAS ID: %m:%s
Username and Password:
Username: MAC Address with Colon
Password: MAC Address with Colon
Primary Authentication Server: RADIUS1
Secondary Authentication Server: RADIUS2
Accounting (se debe habilitar esta opción para realizar el control de las sesiones)
Interval: 10 mins
Primary Accounting Server: RADIUS1
Secondary Accounting Server: RADIUS2
Una vez realizados todos los cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente al MAC Authentication diríjase al apartado Configuration > Device Configuration y hacer click en Role Profiles y una vez dentro hacer click en Add Role Profile para crear un nuevo role y configurar los siguientes parámetros:
Profile Name: MAC AUTH USER
Role: MAC AUTH USER
Inherit from SSID: deshabilitar esta opción.
VLAN: habilitar esta opción y configurar:
VLAN ID: indicar la vlan configurada en la red.
Una vez hecho esto, hay que crear el SSID, para ello vamos a Configuration > Device Configuration > SSID Profiles, para añadir una nueva WLAN hacer click en Add New WiFi Profile
Añadir un nombre para el nuevo profile así como el SSID que radiarán los APs, por ejemplo Mac_Auth_Guest
En la pestaña Security seleccionar Open como método de autenticación para la nueva WLAN creada
A continuación, hay que habilitar MAC Authentication dentro del SSID Profle y asignar el role anterior a los usuarios que se validen mediante su dirección MAC.
Para ello ir a Configuration > Device Configuration > SSID Proflies y seleccionar el SSID profile creado anteriormente para poder editar su configuración y una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication
A continuación, marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:
Asociar los servidores radius creados en el punto 2.3 (apartado Radius) de esta guía
Tras hacer click en Save habilitar la opción Assign SSID Profile y seleccionar el role creado anteriormente dentro de Select Role for Sucessful Clientes.
De este modo si la autenticacíón por MAC es correcta el usuario tendrá libre acceso sin necesidad de validarse por el portal cautivo.
Una vez realizados todos los cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.