Ruckus SmartZone

Owned by David López Frutos (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
7 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento SmartZone de Ruckus a partir de la versión 3.5.1 para el uso del portal cautivo y para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

En primer lugar para llevar a cabo la configuración en los controladores SmartZone con la version 3.5.1 o superior es necesario introducir los parámetros del Servidor Radius dentro del AP Zone donde se hallen los APs de la instalación. Para ello acceder a Services & Profiles > Authentication y dentro de la pestaña Non-Proxy (AP Authenticator) seleccionar la zona correspondiente a la instalación

Una vez dentro de la zona correspondiente hacer click en el botón Create para añadir un nuevo servidor Radius con la siguiente configuración:

  • General Options

    • Name: RADIUS

    • Type: RADIUS

  • Primary Server:

    • IP Address: <IP_Radius_1>

    • Port: 1812

    • Sharet Secret: <Secret>

    • Confirm Secret: <Secret>

  • Enable Secondary Server

    • IP Address: <IP_Radius_2>

    • Port: 1812

    • Sharet Secret: <Secret>

    • Confirm Secret: <Secret>

A continuación se debe añadir el servidor Radius de Accounting para ello acceder a Services & Profiles > Accounting y dentro de la pestaña Non-Proxy seleccionar la zona correspondiente a la instalación.

Una vez dentro de la zona correspondiente hacer click en el botón Create para añadir un nuevo servidor Radius de Accounting con la siguiente configuración:

  • General Options

    • Name: RADIUS_ACC

    • Type: RADIUS Accounting

  • Primary Server:

    • IP Address: <IP_Radius_1>

    • Port: 1813

    • Sharet Secret: <Secret>

    • Confirm Secret: <Secret>

  • Enable Secondary Server:

    • IP Address: <IP_Radius_2>

    • Port: 1813

    • Sharet Secret: <Secret>

    • Confirm Secret: <Secret>

2.2 Hotspot

Para configurar los parámetros referentes al portal cautivo externo acceder a Service & Profiles > Hotspot & Portals y dentro de la pestaña Hotspot (WISPr) seleccionar la zona correspondiente a la instalación.

Una vez dentro de la zona correspondiente hacer click en el botón Create para añadir un nuevo Hotspot Profile con la siguiente configuración:

  • Portal Name: WIFI

  • Logon URL: External

  • Redirect unauthenticated user to the URL for authentication: http://<dominio_captive_portal>/login/hotspot/ruckusvsz

  • Start Page: Redirect to the URL that user intends to visit

  • Walled Garden: Añadir los dominios que será necesario acceder sin necesidad de autenticarse en el portal cautivo.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.4 Configuración WLANs

A continuación se debe crear la WLAN que llevará asociado el portal cautivo y los servidores Radius creados previamente. Para ello acceder a Wireless LANs y seleccionar la zona correspondiente a la instalación.

Una vez dentro de la zona correspondiente hacer click en el botón Create para añadir un nuevo WLAN Profile con la siguiente configuración:

  • General Options

    • Name: indicar el nombre de la WLAN

    • SSID: indicar el SSID que radiarán los APs

    • WLAN Group: indicar el WLAN Group al que pertenecen los APs que radiarán el SSID.

  • WLAN Usage

    • Authentication Type: Hotspot (WISPr)

  • Authentication Options

    • Method: Open

  • Encryption Options

    • Method: None

  • Hotspot Portal

    • Hotspot (WISPr) Portal: seleccionar el Hotspot Service creado anteriormente - WIFI

    • Authentication Service: seleccionar el servidor Radius creado anteriormente - RADIUS

    • Accounting Service: seleccionar el servidor Radius creado anteriormente - RADIUS_ACC

    • Send interim update every: 10 minutes

  • RADIUS Options

    • NAS ID: AP MAC

    • Called STA ID: AP MAC

  • Advanced Options

    • Access VLAN – VLAN ID: Identificador de la VLAN asociada al SSID que dependerá de la configuración de red del cliente.

Para finalizar la configuración se debe asociar el SSID creado al AP Group que contiene los APs de la instalación para que éstos comiencen a radiar el nuevo SSID. Para ello acceder a Access Points y dentro de la zona correspondiente seleccionar el AP Group que contenga a los APs de la instalación.

Una vez seleccionado el AP Group correspondiente editar la configuración para seleccionar el WLAN Group, que contiene el SSID creado anteriormente, tanto en el interfaz Radio de 2.4GHz como en el interfaz de 5GHz.

 

2.5 Opción configuración proceso login: HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.


Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.


Opción HTTPS

Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP virtual del SmartZone, de lo contrario las validaciones no se redirigirán correctamente y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

Para que todo el proceso de validación se realice de forma segura, es necesario cargar un certificado en el controlador para que de esta manera no le aparezcan errores de certificado al usuario. Para ello acceder a System > Certificate y dentro de Installed Certs hacer click en el botón + Import para subir el archivo proporcionado

Por último, seleccionaremos los archivos facilitados por el equipo de soporte y pulsaremos en OK para validar los cambios:

  • Server Certificate: archivo acabado en ".com.pem"

  • Intermediate CA certificate: archivo acabado en ".ca.crt"

  • Private key: archivo acabado en ".key"

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.

Estas direcciones MAC son fácilmente accesibles dentro de Access Points y seleccionando la Zona correspondiente a la instalación aparecerá la lista con toda la información de los APs incluidos en dicho dominio.

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1  MAC Authentication

Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para ello acceder a Wireless LANs y dentro de la zona correspondiente editar la configuración de la WLAN asociada al portal cautivo para modificar el siguiente parámetro:

  • Authentication Options

    • Method: MAC Address

3.2 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Ruckus. Aunque están disponibles los dictionarys radius más comunes y propietarios de Ruckus, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

WISPr-Bandwidth-Max-Down

Define límites de velocidad de bajada.

Bytes

WISPr-Bandwidth-Max-Up

Define límites de velocidad de subida.

Bytes

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario.

Segundos

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse.

Segundos

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso

fs