Arista / WatchGuard

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Arista Networks o WatchGuard para la integración con Octopus Platform.

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

El primer paso es añadir toda la configuración de los servidores Radius. Para ello acceder a Configuration > RADIUS Profiles > Add RADIUS Profile y crear uno con los siguientes parámetros:

  • Profile Name: RADIUS1

  • IP Address: <IP_Radius_1>

  • Authentication Port: 1812

  • Accounting Port: 1813

  • Shared secret: <Secret>

Tras hacer click en OK, configurar los parámetros del segundo servidor Radius con los siguientes datos:

  • Profile Name: RADIUS2

  • IP Address: <IP_Radius_2>

  • Authentication Port: 1812

  • Accounting Port: 1813

  • Shared secret: <Secret>

Hacer click en Save para guardar los cambios

2.2 Configuración WLAN

El primer paso es crear una nueva red WLAN. Para ello acceder a la pestaña Configuration > Device Configuration > SSID Profiles, para añadir una nueva WLAN hacer click en Add New WiFi Profile

  • Añadir un nombre para el nuevo profile así como el SSID que radiarán los APs.

  • En la pestaña Security seleccionar Open como método de autenticación para la nueva WLAN creada

2.3 Captive Portal

En cuanto a la configuración necesaria para habilitar un portal cautivo externo se debe llevar a cabo dentro de Captive Portal en la página de configuración del SSID creado. En primer lugar, marcar la opción Enable Captive Portal y seleccionar dentro de las posibles opciones que aparecen External Splash Pag with RADIUS Authenticaction y rellenar los campos con la siguiente información:

  • Splash Page URL: https://<dominio_captive_portal>/login/hotspot/mojo

  • Shared Secret: xieylpgxoypwzqtb

En el siguiente paso vamos a seleccionar el servidor Radius para el SSID, haciendo click en Radius Settings en la propia página de configuración. Dentro del desplegable que aparece rellenar todos los campos con los siguientes parámetros y seleccionar el Radius de Autenticación y Accounting creados anteriormente:

  • Authentication

    • Called Station ID: %m:%s

    • NAS ID: %m:%s

  • Primary Authentication Server:

    • RADIUS1

  • Secondary Authentication Server:

    • RADIUS2

  • Accounting (se debe habilitar esta opción para realizar el control de las sesiones)

    • Interval: 10 mins

  • Primary Accounting Server:

    • RADIUS1

  • Secondary Accounting Server:

    • RADIUS2

 

Un vez rellenados todos los parámetros hacer click en el botón Save para guardar los cambios realizados.

El siguiente paso es introducir los parámetros que enviará el AP en el HTTP redirect. Para ello, acceder a la opción Advanced Parameters y rellenar todos los campos con la siguiente configuración:

  • Request Attributes:

    • Request Type: res

    • Challenge: challenge

    • Client MAC Address: client_mac

    • AP MAC Address: ap_id

    • AP IP Address: uamip

    • AP Port Number: uamport

    • Failure Count: failure_count

    • Requested URL: userurl

    • Login URL: login_url

    • Logoff URL: logoff_url

    • Remaining Blackout Time: blackout_time

    • Service Identifier: service_id

Por otro lado, dentro del mismo desplegable es necesario rellenar también los campos que aceptará el AP como respuesta, dentro de estos campos se incluye el username y password y la url a la que se redirigirá al usuario tras su validación. A continuación se detallan los parámetros que se deben incluir:

  • Request Attributes:

    • Challenge: challenge

    • Response Type: res

    • Challenge Response: digest

    • Redirect URL: redirect

    • Login Timeout: session_timeout

    • Username: username

    • Password: password

Una vez rellenados los campos hacer click en Save  para guardar los cambios realizados.

2.4 Walled Garden

Por ultimo dentro de la configuración de la WLAN es necesario incluir los dominios a los que se debe permitir acceso libre dentro del walled garden. Para ello, hacer click en Captive Portal  y posteriomente en Add en Walled Garden Sites y añadir todos los dominios necesarios dentro del desplegable que parece.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Una vez realizados todos los cambios tanto en Security como en Captive Portal  se debe salvar la configuración haciendo click en Save.

2.5 Device Templates

Una vez configurado el portal cautivo externo se debe asociar la WLAN creada dentro de un template. Para ello ir a Configuration Device Configuration Device Template y hacer click en Add Device Template para crear uno nuevo o modificar uno ya existente. Dentro de las opciones de configuración fijar los siguientes parámetros.

  • Template Name: Template Name

A continuación, hay que añadir la WLAN creada anteriormente. Para ello acceder a Radio Settings  y hacer click en Universal Configuration, dentro del desplegable que aparece seleccionar Add SSID Profile y seleccionar el SSID profile que contiene el captive portal:

Una vez añadida el SSID Profile tanto en la banda de 2,4GHz como en la de 5GHz hacer click en Save para guardar todos los cambios.

Al salvar los cambios si no se ha configurado ninguna contraseña para el acceso a los APs dentro del Template aparecerá un error. Por lo que será necesario añadir una contraseña para poder guardar los cambios realizados. Para ello ir a Device Settings > Device Password y añadir la contraseña para el acceso a los APs.

2.5 Managed devices

Para terminar la configuración de los APs de la instalación es necesario asociar el Device Template creado anteriormente a los APs en los que se desee que se radie el SSID creado. Para ello, acceder a Monitoring > Managed Devices y una vez dentro seleccionar todos los APs de la instalación que deban radiar el SSID creado anteriormente y hacer click en el botón que aparece al final de la página para cambiar la Template asociada a los APs.

Tras hacer click en dicho botón seleccionar la Template creada en el desplegable y confirmar que deseamos realizar estos cambios.

 

Por último comprobar que una vez realizados estos cambios se ha asociado la template en los APs.

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. Se deben añadir la dirección MAC de todos los APs. Estas direcciones MAC son fácilmente accesibles dentro de Monitoring > Managed Devices:

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1  Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar la WLAN en uso.

Para ello acceder a a Configuration > Device Configuration  > SSID Proflies  y seleccionar el SSID profile creado anteriormente para poder editar su configuración y una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication

A continuación, marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:

Asociar los servidores radius creados en el punto 2.3 (apartado Radius) de esta guía

  • Authentication

    • Called Station ID: %m:%s

    • NAS ID: %m:%s

  • Username and Password:

    • Username: MAC Address with Colon

    • Password: MAC Address with Colon

  • Primary Authentication Server: RADIUS1

  • Secondary Authentication Server: RADIUS2

  • Accounting (se debe habilitar esta opción para realizar el control de las sesiones)

    • Interval: 10 mins

  • Primary Accounting Server: RADIUS1

  • Secondary Accounting Server: RADIUS2

Una vez realizados todos los cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente al MAC Authentication diríjase al apartado Configuration > Device Configuration y hacer click en Role Profiles y una vez dentro hacer click en Add Role Profile para crear un nuevo role y configurar los siguientes parámetros:

  • Profile Name: MAC AUTH USER

  • Role: MAC AUTH USER

  • Inherit from SSID: deshabilitar esta opción.

  • VLAN: habilitar esta opción y configurar:

    • VLAN ID: indicar la vlan configurada en la red.

Una vez hecho esto, hay que crear el SSID, para ello vamos a Configuration > Device Configuration > SSID Profiles, para añadir una nueva WLAN hacer click en Add New WiFi Profile

  • Añadir un nombre para el nuevo profile así como el SSID que radiarán los APs, por ejemplo Mac_Auth_Guest

  • En la pestaña Security seleccionar Open como método de autenticación para la nueva WLAN creada

A continuación, hay que habilitar MAC Authentication dentro del SSID Profle y asignar el role anterior a los usuarios que se validen mediante su dirección MAC.

Para ello ir a Configuration > Device Configuration SSID Proflies  y seleccionar el SSID profile creado anteriormente para poder editar su configuración y una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication

A continuación, marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:

Asociar los servidores radius creados en el punto 2.3 (apartado Radius) de esta guía

Tras hacer click en Save habilitar la opción Assign SSID Profile y seleccionar el role creado anteriormente dentro de Select Role for Sucessful Clientes.

De este modo si la autenticacíón por MAC es correcta el usuario tendrá libre acceso sin necesidad de validarse por el portal cautivo.

Una vez realizados todos los cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.