UniFi Controller Legacy

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de Ubiquiti usando la plataforma UniFi Controller para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

 

2- Configuración módulo Guest

2.1 Radius Server

En primer lugar, se crearán los servidores radius al que se enviarán las peticiones de autenticación y el accounting. Para ello dentro del interfaz web de Unifi Network Controller en el Site objeto de configuración seleccionar la opción Settings > Profiles y seleccionar CREATE NEW RADIUS PROFILE. Rellenar los siguientes datos:

  • Profile Name: Octopus_Radius

  • RADIUS Auth Server 1

    • IP Address: <IP_Radius_1>

    • Port: 1812

    • Password/Shared Secret: <Secret>

  • RADIUS Auth Server 2

    • IP Address: <IP_Radius_2>

    • Port: 1812

    • Password/Shared Secret: <Secret>

  • Accounting: Marcar Enable Accounting

  • Interim Update: Marcar Enable Interium Update

  • Interim Update Interval: 600

  • RADIUS Accounting Server 1:

    • IP Address: <IP_Radius_1>

    • Port: 1813

    • Password/Shared Secret: <Secret>

  • RADIUS Accounting Server 2:

    • IP Address: <IP_Radius_2>

    • Port: 1813

    • Password/Shared Secret: <Secret>

 

 

2.2 Captive Portal

Como primer paso será necesario cambiar las páginas de login enviadas por el equipo de soporte al servidor de Unifi Controller. La ubicación en cada Sistema Operativo es:

  • Linux: /usr/lib/unifi/data/sites/<site_name>/app-unifi-hotspot-portal

  • Windows: <Unidad_OS>:\Users\<usuario>\Ubiquiti UniFi\data\sites\<site_name>\app-unifi-hotspot-portal

  • Cloud Key: /srv/unifi/data/sites/<site_name>/app-unifi-hotspot-portal

Los pasos serían:

  • Copiar las páginas originales en otra carpeta (Ej: app-unifi-hotspot-portal-original) sin alterar la carpeta original. De esta manera las mantenemos por si en algún momento las queremos volver a utilizar.

  • A continuación pegar el contenido de las nuevas páginas en la carpeta app-unifi-hotspot-portal, aceptando el remplazo de los archivos con el mismo nombre.

 

Una vez están disponibles las nuevas páginas de redirección, volver al interfaz de Unifi Network Controller y dentro del Site, acceder a Settings > Guest Control. En el apartado GUEST POLICIES:

  • Guest portal: Marcar Enabled Guest Controller

  • Authentication: Hotspot

  • Landing Page: Redirect to the original URL (de esta manera se configurará desde Octopus Platform)

  • Redirection: Todo deshabilitado

Dentro de PORTAL CUSTOMIZATION:

  • Template Engine: Angular JS

  • Override Default Templates: Marcar Override templates with custom changes

  • El resto de valores del apartado no aplican.

En apartado HOTSPOT:

  • RADIUS: Marcar Enable RADIUS-based authorization

  • Resto de valores: Disabled

Apartado RADIUS:

  • Profile: Octopus_Radius (Creado en apartado 2.1)

  • Authentication type: CHAP

 

En el último apartado ACCESS CONTROL, se deberán de añadir los walled garden o dominios con acceso libre necesarios para el funcionamiento del portal cautivo:

  • Pre-Authorization Access: Añadir los básicos para el funcionamiento y dependiendo de los métodos de acceso seleccionados consultar los dominios necesarios en el siguiente enlace.

2.3 Wireless Networks

Dentro del interfaz de usuario de Unifi Controller > Settings > Wireless Networks, crear una nueva o editar la red en la cual queremos integrar el portal cautivo.

 

  • Name/SSID: Nombre de la red WiFi que radiarán los APs. Deberá coincidir con el configurado en Octopus Platform.

  • Enabled: Marcar Enable this wirreless network

  • Security: Open

  • Guest Policy: Marcar Apply guest policies (captive portal, guest authentication, access)

 

2.4 Opción configuración login seguro

Se aconseja que todo el proceso de autenticación vaya cifrado y por lo tanto todas las interacciones con Unifi Controller se hagan mediante https. A continuación se muestran los diferentes pasos para implementarlo:

Lo primer será generar un certificado, teniendo en cuenta las siguientes consideraciones:

  • El certificado tiene que tener asociado un subdominio que lleve asociada una entrada DNS que resuelva a la IP de Unifi Network Controller. El certificado puede ser wildcard, pero el subdominio utilizado tiene que tener de la misma manera la resolución DNS.

  • Generar certificado con formato “pfx”, con alias “unifi” y password “aircontrolenterprise”. Ejemplo de generación con programa OpenSSL

    sudo openssl pkcs12 -export -out certificate.pfx -inkey certificate.key -in certificate.crt -certfile certificate.ca.crt -name "unifi"
  • Subir e importar el certificado al servidor donde esté instalado Unifi Controller, fijándose en la ruta que se almacena.

    • Por comodidad en windows se aconseja almacenarlo en la ruta donde están los ejecutables de Java: <Unidad_OS>:\Program Files\Java\<java_version>\bin

  • Mediante CLI, dirigirse a la carpeta donde está el certificado (en caso de windows, donde también están archivos ejecutables de Java).

  • Introducir el comando:

    keytool.exe -importkeystore -srckeystore certificate.pfx -srcstoretype pkcs12 -srcalias unifi -destkeystore "<ruta_keystore>" -deststoretype jks -destalias unifi -deststorepass aircontrolenterprise
    • <ruta_keystore> en Linux: /usr/lib/unifi/data/keystore 

    • <ruta_keystore> en Windows: <Unidad_OS>:\Users\<usuario>\Ubiquiti UniFi\data\keystore

    • <ruta_keystore> en Cloud key: /var/lib/unifi/keystore

  • Si todo es correcto reiniciar Unifi Controller

 

Se aconseja realizar una copia previa del archivo keystore, por si sale algo mal y es necesario restablecerlo.

 

Por último se deben de realizar cambios en el interfaz web de configuración de Unifi Controller, dentro del site objeto de configuración Settings > Guest Control > GUEST POLICIES

  • Redirection:

    • Marcar “Use secure portal”

    • Marcar Redirect using hostname e introducir el subdominio asicuado al certificado y resuelve a la IP de Unifi Controller

2.5 Listado MACs Autorizadas

Para identificar el site en Octopus Platform, es necesario añadir las direcciones MAC a la plataforma. Para obtener el listado de direcciones MAC, dentro de la configuración de Unifi Controller, dirigirse al apartado DEVICES.

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración MAC Authentication

Para habilitar la autenticación por MAC dirigirse a Configuration > Wireless Networks, acceder o editar la Wlan que se quiera configurar y en el apartado Radius Mac Authentication:

  • Enabled: Enable RADIUS MAC authentication

  • Radius Profile: Seleccionar Radius Profile (apartado 2.1 de la guía)

  • MAC Address Format: aa:bb:cc:dd:ee:ff

  • Empty Password: Enable