4ipnet

Owned by Adrián Macarro (Unlicensed)
Last updated: Jul 24, 2023 by Jorge Márquez Torres
6 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento 4ipnet para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal: 

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1  Radius Servers

Radius Authentication

A continuación realizaremos la configuración de los servidores Radius para la validación de los usuarios en el portal cautivo. En primer lugar accedemos a Users > External Authentication > RADIUS y editamos el deseado con los siguientes parámetros:

  • NAS Identifier: FOURIPNET

  • Attributes Priority:

    • Acct Interim Interval: 10 Minutes

IMPORTANTE: Cambiar el valor del combo que aparece como “Overwrite Server’s Settings” por el valor “Set if not Present”, ya que de lo contrario se obtendrán tiempos de sesión erróneos.

  • Retransmission Settings:

    • Number of Retries: 2

    • Timeout: 3

  • Primary RADIUS Server:

    • Authentication Server: <IP_Radius_1>

    • Authentication Port: 1812

    • Authentication Secret Key: <Secret>

    • Authentication Protocol: PAP

    • Accounting Service: Enable

    • Accounting Server: <IP_Radius_1>

    • Acounting Port: 1813

    • Accounting Secret Key: <Secret>

  • Secondary RADIUS Server:

    • Authentication Server: <IP_Radius_2>

    • Authentication Port: 1812

    • Authentication Secret Key: <Secret>

    • Authentication Protocol: PAP

    • Accounting Service: Enable

    • Accounting Server: <IP_Radius_2>

    • Acounting Port: 1813

    • Accounting Secret Key: <Secret>

 

 

 

 

Authentication Server

Para que el fabricante no devuelva error de Authentication Option (associated with the postfix) is not found, es necesario definir un Postfix con el nombre del Realm asociado al Localizaciones dentro de la plataforma.

Para ello dentro de la Plataforma WiFi, acceder a Configuración > Organización para visualizar el Listado de clientes y poder obtener el parámetro REALM del Localizaciones en cuestión.

Por último, acceder dentro de la configuración del fabricante a Users > Authentication Servers y editar el server Authentication RADIUS:

Y rellenar con los siguientes parámetros:

  • User Postfix: <REALM>

2.2  Portal cautivo

Debemos configurar ahora el portal cautivo al que redirigiremos a los usuarios para poder validarse en el servicio WiFi. Para ello acceder a System > Service Zones y configurar el apartado “Authentication Settings” primero para habilitar las políticas de acceso a la zona elegida:

  • Authentication: Enable

  • Portal URL: Url a la que se quiere redirigir finalmente al usuario. Se puede forzar una en concreto (marcando la opción “Specific”), dejar la original a la que navegó el usuario (opción “Original”) o no forzar ninguna (opción “None”).

  • Authentication Options: marcar como “default” y “enabled” la opción RADIUS creada en el paso anterior

  • Resto de opciones dejarlas por defecto.

     

Posteriormente pulsamos en Login Page Customization y posteriormente en General Login Page y configuramos con los siguientes parámetros:

  • Use External Page: Selecccionado

  • External URL: https://<dominio_captive_portal>/login/hotspot/fouripnet

     

Finalmente, configuraremos la URL a la que serán redirigidos los usuarios después de logarse. Para ello accedemos a System > Service Zones y editar la zona donde deseamos realizar la configuración. Pulsamos en Login Page Customization y posteriormente en Service Disclaimer. Si se desea configurar la redirección desde la plataforma WiFi, accedemos a Login Success Page y configuramos con los siguientes parámetros:

  • Use External Page: Selecccionado

  • External URL: https://<dominio_captive_portal>/login/hotspot/landing/wifiarea/WIFIAREA_ID/WLAN_ID

     

Para obtener los parámetros WIFIAREA_ID y WLAN_ID para completar la URL anterior, acceder a la plataforma WIFI y dentro de la configuración de la Localización acceder a WLAN > Redirecciones por tipo de acceso. A continuación puede obtenerse la URL a configurar para la redirección externa de cada SSID tras la validación del usuario.

2.3 Walled Garden

El siguiente paso es añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en el portal cautivo. Para ello acceder a Network > Walled Garden y pulsar en Add Walled Garden List. Rellenar con los siguientes parámetros:

  • Domain Name/IP Address/URL: dominio a liberar

  • Walled Garden:

    • Active: Seleccionado

    • Service Zone: Seleccionar la zona donde se ha configurado el portal cautivo

       

Por último pulsar en Apply para guardar los cambios.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.4 Configuración proceso login HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.


Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.

Opción HTTPS

El controlador tiene un certificado predeterminado de fábrica incorporado (gateway.example.com) que no se puede eliminar, pero permite cargar nuevos certificados. Para ello accedemos a Main Menu > Utilities > Certificate y editamos el certificado System Certificate que es el que se usará para el login HTTPS:

 

Para subir el nuevo certificado pulsar en Browse y seleccionar los 3 archivos facilitados por el equipo de Soporte:

  • Certificate: certificate.crt

  • Private Key: certificate.key

  • Intermediate CA: certificate.ca.crt

Para finalizar pulsamos en Upload Files.

Por último, es necesario seleccionar el certificado para que pueda ser utilizado en el proceso de login. Para ello accedemos a General Settings y configuramos con los siguientes parámetros:

  • HTTPS Certificate: nombre del nuevo certificado.

  • User HTTPS Login: Enable

    • Secure: Habilitado

  • Internal Domain Name: Habilitar Use the name on SSL certificate (cambiará automáticamente al reiniciar la controladora)

Por último Aplicar los cambios y reiniciar la controladora:

Para confirmar que todo se ha cargado correctamente podemos verificar que se ha cambiado el Internal Domain Name:

Este subdominio asociado al certificado resolverá a la IP de gestión del controlador.

2.5 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso, se debe añadir la MAC WAN del controlador. Para obtenerla acceder a Status > System Summary > System Report y seleccionar la Interfaz WAN de la salida a internet para obtener la dirección MAC Address:

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi.

3.1 Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar la zona habilitada para el portal cautivo y habilitar esta opción. Para ello debemos acceder a System > Service Zones, seleccionar la zona a configurar y dentro del apartado “Authentication Settings” marcar como enabled la configuración denominada “MAC authentication” y seleccionando el servidor RADIUS dado de alta anteriormente en el combo habilitado “MAC Auth. Server”: