ZYXEL Firewall (USG y VPN)

Owned by Marce De Miguel (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
7 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en los equipos Zyxel USG y VPN (a partir de modelo 100) para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

Incluir los servidores radius externos de la plataforma Wifi, para ello acceder a Configuration > Object > AAA Server y acceder a la pestaña RADIUS. Una vez dentro hacer click en Add para añadir un nuevo Servidor Radius y configurar los siguientes parámetros:

  • Name: Radius_Guest

  • Authentication Server Settings

    • Server Address: <IP_Radius_1>

    • Authentication Port: 1812

    • Backup Server Address: <IP_Radius_2>

    • Backup Authentication Port: 1812

    • Key: <Secret>

  • Accounting Server Settings

    • Server Address: <IP_Radius_1>

    • Accounting Port: 1813

    • Backup Server Address: <IP_Radius_2>

    • Backup Accounting Port: 1813

    • Key: <Secret>

    • Enable Accounting Interim update: habilitar esta opción

    • Interim Interval: 10

  • General Server Settings

    • Timeout: 5

    • NAS Identifier: ZYXEL

Una vez añadido el Servidor Radius acceder a Configuration > Object > Auth. Method para añadir un nuevo método de Authentication asociado al Servidor Radius añadido. Tras hacer click en Add configurar los siguientes parámetros:

  • Name: AuthMethod_Guest

  • Method List: añadir el servidor Radius creado anteriormente, Radius_Guest

2.2 Walled Garden

Con licencia Hotspot

Para añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en el portal ir a Configuration > Hotspot > Walled Garden y en la pestaña General habilitar la opción Enable Walled Garden.

Tras habilitar esta opción en la pestaña Domain/IP Base se deben añadir los dominios, para ello hacer click en Add y configurar cada una de las entradas.

Sin Licencia Hotspot

Para añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en el portal ir a Configuration > Object > Address/Geo IP y en la pestaña Address crear una entrada (Add) por cada uno de los dominios que queramos añadir con un nombre identificativo.

  • Name: Nombre identificativo

  • Address Type: FQDN

  • FQDN: dominio o subdominio completo 

Una vez añadidas las entradas de los dominios en Address hay que agruparlas creando un grupo en la pestaña Address Group. Para ello pulsaremos el botón Add.

  • Name: Nombre identificativo de la lista, WalledGarden_Group, por ejemplo.

  • Address Type: FQDN

  • Member List: Seleccionar todos los elementos que nos interese de la lista de la izquierda y pasarlos a la columna de la derecha con la flecha que indica ese sentido.

 

 

 

 

Pulsar en OK cuando se hayan añadido todos los dominios al grupo

 

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.3 Captive Portal

A continuación configurar el Portal Cautivo externo para ello ir a Configuration > Web Authentication y acceder a la pestaña Authentication Type. Una vez dentro pulsar en Add y configurar los siguientes parámetros:

  • Type: Web Portal

  • Profile Name: Guest_Portal

  • Marcar la opción: External Web Portal

    • Login URL: http://<dominio_captive_portal>/login/hotspot/zywall

    • Welcome URL: Para que aplique la configuración de la landing configurada en la plataforma, hay que introducir la URL de redirección que se encuentra en el apartado WLAN de la Localización de Octopus Platform.

      • Formato de la URL:<protocol://domain-portal>/login/hotspot/landing/wifiarea /WIFIAREA_ID/WLAN_ID

      • Sustituir:

        • Protocol: http o https. Debe ser el mismo protocolo que se utiliza en Login URL

        • domain-portal: El mismo dominio_captive_portal que se utiliza en Login URL

Una vez añadido hacer click en Apply para salvar los cambios e ir a la ventana General. En esta pestaña configurar:

  • Enable Web Authentication: marcar esta casilla para habilitar el portal cautivo.

Por último dentro de Web Authentication Policy Summary hacer click en Add para añadir una nueva policy con la siguiente configuración:

  • Enable Policy: activar esta opción

  • Incoming Interface: Seleccionar la interfaz al que queremos aplicar el portal cautivo.

  • Source Address: any

  • Destination Address: any

  • Authentication: required

  • Single Sign-on: desactivar esta casilla

  • Force User Authentication: activar esta opción

  • Authentication Type: Guest_Portal

Posteriormente, también desde Web Authentication Policy Summary, añadir una entrada para los walled garden:

  • Enable Policy: activar esta opción

  • Incoming Interface: Seleccionar la interfaz al que queremos aplicar el portal cautivo.

  • Source Address: any

  • Destination Address: WalledGarden_Group, o nombre de Address Group que se haya creado anteriormente.

  • Schedule: none

  • Authentication: unneccesary

Pulsar el botón Apply para que se guarde correctamente la configuración realizada. Posteriormente entran en el submenú: Configuration > System > WWW

  • Habilitar las opciones HTTP y HTTPS

  • Deshabilitar la opción "Redirect HTTP to HTTPS"

  • En la sección Authentication seleccionar en la parte inferior la siguiente configuración: Client Authentication Method: AuthMethod

2.4 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir la dirección MAC del equipo ZyWALL 110. Para encontrar esta dirección MAC ir al Dashboard y en el widget Device Information se puede obtener la dirección MAC del equipo.

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

2.5 Configuraciones adicionales

Idle Timeout

Para terminar toda la configuración es necesario activar el Idle-Timeout para que los usuarios sean olvidados de la red tras un cierto tiempo de inactividad. Para ello ir ir a Configuration > Object > User/Group y acceder a la pestaña Setting. Dentro de la sección Miscellaneous Settings activar la casilla Enable user idle detection y configurar 15 minutos como User idle timeout.

Aplicar configuración a WLAN

El primer paso será asociar el interfaz al SSID donde se quiere aplicar la configuración, para ello acceder a Configuration > Object > AP Profile y seleccionar la pestaña SSID. Una vez dentro hacer click en en Add para añadir un nuevo SSID profile y configurar los siguientes parámetros:

  • VLAN ID: indicar la vlan asociada al portal cautivo.

 

Para desplegar la configuración en los Access Points, dirigirse a Configuration > Wireless >AP Management y acceder a la pestaña AP Group. Seleccionar el grupo donde queremos añadir el SSID Invitados:

  • Radio 1 Setting: Seleccionar el SSID Profile creado anteriormente en el listado.

  • Radio 2 Setting: Seleccionar el SSID Profile creado anteriormente en el listado.

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Zyxel. Aunque están disponibles los dictionarys radius más comunes y propietarios de Zyxel, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

 

Filter-ID

Devuelve un Role o perfil de conexión previamente creado en el Zyxel.

El nombre del Group Identifier del Role debe ser el mismo en el Zyxel que en el perfil de acceso de la plataforma.

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Configuración Filter-ID

Acceder a Object > AAA Server > Radius y seleccionar en User Login Settings > Group Membership Attibute Filter-ID. Después ir a Object > User/Group > User y crear una nueva entrada con la configuración:

  • User-Name: El que consideremos para identificarlo.

  • User-Type: ext-group-user.

  • Group Identifier: Dato muy importante porque será lo que hay que configurar en el radius y el que habría que devolver en el atributo Filter-ID.

  • Associated AAA Server Object: radius.

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso