ZyXEL Nebula

Owned by Adrián Macarro (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
5 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria para la solución Nebula Controller Center de ZyXEL para la integración con Octopus Platform

1- Requerimientos previos

  • Para poder cumplir con la ley de conservación de datos en la integración con la plataforma WiFi, es necesario adquirir la licencia Nebula Pro Pack que permite configurar Radius Accounting Servers.

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Configuración inicial

Si se crea un nuevo SSID de cero, acceder a Access point > Configure > SSID overview > Show All y rellenar los siguientes parámetros:

  • Name: indicar SSID que radiarán los APs

  • Enabled: ON

  • Guest Network: OFF





 

2.2 SSID

Network Access

Dentro de  Access point > Configure > SSID overview > Authentication, seleccionar en la parte superior el SSID objeto de wifi invitados y configurar los siguientes parámetros:

  • Network access: Open

  • Sign-in method: Sign-on with My RADIUS server



Radius Servers

Añadir los servidores Radius tanto para Autenticación como Accounting.

  • RADIUS server:

    • Host: <IP_Radius_1>

    • Port: 1812

    • Secret: <Secret>

    • Host: <IP_Radius_2>

    • Port: 1812

    • Secret: <Secret>

  • NAS Identifier: Dejar en blanco

  • RADIUS accounting: RADIUS Accounting enabled

  • RADIUS accounting servers:

    • Host: <IP_Radius_1>

    • Port: 1813

    • Secret: <Secret>

    • Host: <IP_Radius_2>

    • Port: 1813

    • Secret: <Secret>

 

 

Walled Garden

Se añadirán los dominios necesarios con acceso libre antes de validarse en el portal cautivo. Dependiendo de los métodos de acceso seleccionados en el portal cautivo serán necesarios configurar una lista de dominios permitidos en la configuración de la solución WLAN.

  • Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

  • La solución Nebula Control Center de Zyxel no permite añadir más de 20 reglas en el Walled Garden.

  • Si alguna regla está duplicada, no permitirá guardar los cambios.

Captive portal access attribute

En el apartado Captive portal access attribute configurar los siguientes parámetros.

  • Login on multiple client devices: Multiple devices access simultaneously

  • Strict Policy: Block all access until sign-on

2.3 Captive portal

Dentro del apartado Access point > Configure > Captive Portal , seleccionar en la parte superior el SSID objeto de wifi invitadosy en la sección External captive portal URL configurar:

  • Use URL: ON

  • URL: http://<dominio_captive_portal>/login/hotspot/zynebula

 

Por último se configurará la URL a la que serán redirigidos los usuarios después de logarse en el apartado Captive portal behaviour. Se introducirá una URL generada por la plataforma Wifi para que se haga esta gestión desde ella. 

  • To promotion URL: https://<dominio_captive_portal>/login/hotspot/landing/wifiarea/WIFIAREA_ID/WLAN_ID

 

 

Para obtener la URL completa, acceder a la plataforma WIFI y dentro de la configuración de Localización acceder a WLAN > Redirecciones por tipo de acceso

2.4 Listado MACs autorizadas

En este caso es necesario añadir en la plataforma WiFi todas las direcciones MAC de los APs en los que se radiará el SSID con el portal cautivo. Para obtener estas direcciones MAC fácilmente ir a AP > Monitor > Access Point y buscar la columna en la que aparece la MAC address de cada uno de los APs.


3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Access point > Configure > SSID overview > Show All y rellenar los siguientes parámetros:

  • Name: configurar SSID que radiarán los APs por ejemplo Mac_Auth_Guest

  • Enabled: ON

  • Guest Network: OFF

Dentro de Access point > Configure > SSID overview > Authentication, seleccionar en la parte superior el SSID objeto de wifi invitados y configurar los siguientes parámetros:

  • Network access: Open

  • Seleccionar MAC-based Authentication with My Radius Server

  • Sign-in method: Disable

Radius Servers

Asociar los servidores radius creados en el punto 2.2 (Radius Servers) de esta guía

3.2 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Zyxel. Aunque están disponibles los dictionarys radius más comunes y propietarios de Zyxel, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Seconds

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados: