ZyXEL ATP
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en los equipos Zyxel Firewall ATP para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Server
Incluir los servidores radius externos de la plataforma Wifi, para ello acceder a Configuration > Object > AAA Server y acceder a la pestaña RADIUS. Una vez dentro hacer click en Add para añadir un nuevo Servidor Radius y configurar los siguientes parámetros:
Name: Radius_Guest
Authentication Server Settings
Server Address: <IP_Radius_1>
Authentication Port: 1812
Backup Server Address: <IP_Radius_2>
Backup Authentication Port: 1812
Key: <Secret>
Accounting Server Settings
Server Address: <IP_Radius_1>
Accounting Port: 1813
Backup Server Address: <IP_Radius_2>
Backup Accounting Port: 1813
Key: <Secret>
Enable Accounting Interim update: habilitar esta opción
Interim Interval: 10
General Server Settings
Timeout: 5
NAS Identifier: ZYXEL
Una vez añadido el Servidor Radius acceder a Configuration > Object > Auth. Method para añadir un nuevo método de Authentication asociado al Servidor Radius añadido. Hacer click en Add configurar los siguientes parámetros:
Name: AuthMethod_Guest
Method List: añadir el servidor Radius creado anteriormente, Radius_Guest
2.2 Walled Garden
Para añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en el portal ir a Configuration > Object > Address/Geo IP y en la pestaña Address crear una entrada (Add) por cada uno de los dominios que queramos añadir con un nombre identificativo.
Name: Nombre identificativo
Address Type: FQDN
FQDN: dominio o subdominio completo
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
Una vez añadidas las entradas las agruparemos en la pestaña Address Group. Para ello pulsaremos el botón Add.
Name: Nombre identification de la lista, Walled_Garden, por ejemplo.
Address Type: FQDN
Member List: Seleccionar todos los elementos que nos interese de la lista de la izquierda y pasarlos a la columna de la derecha con la flecha que indica ese sentido.
Pulsar OK para salvar los cambios.
2.3 Captive Portal
A continuación configurar el Portal Cautivo externo para ello ir a Configuration > Web Authentication y acceder a la pestaña Authentication Type. Una vez dentro pulsar en Add y configurar los siguientes parámetros:
Type: Web Portal
Profile Name: Guest_Portal
Marcar la opción: External Web Portal
Login URL: http://<dominio_captive_portal>/login/hotspot/zywall
Welcome URL: Para que aplique la configuración de la landing configurada en la plataforma, hay que introducir la URL de redirección que se encuentra en el apartado WLAN de la Localización de Octopus Platform.
Formato de la URL:<protocol://domain-portal>/login/hotspot/landing/wifiarea /WIFIAREA_ID/WLAN_ID
Sustituir:
Protocol: http o https. Debe ser el mismo protocolo que se utiliza en Login URL
domain-portal: El mismo dominio_captive_portal que se utiliza en Login URL
Una vez añadido hacer click en Apply para salvar los cambios e ir a la ventana General. En esta pestaña configurar los siguientes parámetros:
Enable Web Authentication: marcar esta casilla para habilitar el portal cautivo.
Dentro de Web Authentication Policy Summary hacer click en Add para añadir una nueva policy con la siguiente configuración:
Enable Policy: activar esta opción
Incoming Interface: Seleccionar la interfaz al que queremos aplicar el portal cautivo.
Source Address: any
Destination Address: any
Authentication: required
Single Sign-on: desactivar esta casilla
Force User Authentication: activar esta opción
Authentication Type: Guest_Portal
Posteriormente, también desde Web Authentication Policy Summary, añadir una entrada para los walled garden:
Enable Policy: activar esta opción
Incoming Interface: Seleccionar la interfaz al que queremos aplicar el portal cautivo.
Source Address: any
Destination Address: Walled_Garden, o nombre de Address Group que se haya creado anteriormente.
Schedule: none
Authentication: unneccesary
Pulsar el botón Apply para que se guarde correctamente la configuración realizada.Y entrar en el submenú: Configuration > System > WWW
Habilitar las opciones HTTP y HTTPS
Deshabilitar la opción "Redirect HTTP to HTTPS"
En la sección Authentication seleccionar en la parte inferior la siguiente configuración: Client Authentication Method: AuthMethod
2.4 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir la dirección MAC del equipo. Para encontrar esta dirección MAC ir al Dashboard y en el widget Device Information se puede obtener la dirección MAC del equipo.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
2.5 Configuraciones adicionales
Idle Timeout
Para terminar toda la configuración es necesario activar el Idle-Timeout para que los usuarios sean olvidados de la red tras un cierto tiempo de inactividad. Para ello ir ir a Configuration > Object > User/Group y acceder a la pestaña Setting. Dentro de la sección Miscellaneous Settings activar la casilla Enable user idle detection y configurar 15 minutos como User idle timeout.
Aplicar configuración a WLAN
El primer paso será asociar el interfaz al SSID donde se quiere aplicar la configuración, para ello acceder a Configuration > Object > AP Profile y seleccionar la pestaña SSID. Una vez dentro hacer click en en Add para añadir un nuevo SSID profile y configurar los siguientes parámetros:
VLAN ID: indicar la vlan asociada al portal cautivo.
Para desplegar la configuración en los Access Points, dirigirse a Configuration > Wireless >AP Management y acceder a la pestaña AP Group. Seleccionar el grupo donde queremos añadir el SSID Invitados:
Radio 1 Setting: Seleccionar el SSID Profile creado anteriormente en el listado.
Radio 2 Setting: Seleccionar el SSID Profile creado anteriormente en el listado.
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform
3.1 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Zyxel. Aunque están disponibles los dictionarys radius más comunes y propietarios de Zyxel, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
---|---|---|
Idle-Timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos. |
|
Filter-ID | Devuelve un Role o perfil de conexión previamente creado en el Zyxel. | El nombre del Group Identifier del Role debe ser el mismo en el Zyxel que en el perfil de acceso de la plataforma. |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Configuración Filter-ID
Acceder a Object > AAA Server > Radius y seleccionar en User Login Settings > Group Membership Attibute Filter-ID. Después ir a Object > User/Group > User y crear una nueva entrada con la configuración:
User-Name: El que consideremos para identificarlo.
User-Type: ext-group-user.
Group Identifier: Dato muy importante porque será lo que hay que configurar en el radius y el que habría que devolver en el atributo Filter-ID.
Associated AAA Server Object: radius.
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso