TPLink - AC Controller
- David López Frutos (Unlicensed)
- Pedro Doroshenko
- Luis Alejandro Ortiz Arce (Unlicensed)
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento AC500 de TP-Link para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Servers
Para incluir el Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios acceder a Authentication > Authentication Server y acceder a la pestaña Radius Server. Una vez dentro hacer click en Add para añadir un nuevo Servidor Radius y configurar los siguientes parámetros:
Server Name: RADIUS
Server Address: <IP_Radius_1>
Authentication Port: 1812
Billing Port: 1813
Share Key: <Secret>
Authentication Method: PAP
Una vez añadido el Servidor Radius hay que asociarlo a un grupo para ello acceder a Authentication > Authentication Server y acceder en este caso a la pestaña Authentication Server Group. Tras hacer click en Add para añadir un nuevo grupo de servidores configurar los siguientes parámetros:
Group Name: RADIUS_GROUP
Authentication Type: Radius
Main Server: RADIUS
2.2 Configuración WLAN
El siguiente paso para llevar a cabo la configuración en el equipamiento TP-Link es crear un nuevo SSID o modificar uno ya existente, para ello acceder a Wireless > Wireless Service y hacer click en Add para añadir una nueva WLAN con los siguientes parámetros:
Status: Enable
SSID: indicar el SSID que radiarán los APs
Security: No Security
2.3 Captive Portal
El siguiente paso es configurar el Portal Cautivo externo para ello acceder a Authentication > Portal Authentication y acceder a la pestaña Remote Portal. Una vez dentro hacer click en Add para añadir un nuevo portal cautivo externo y configurar los siguientes parámetros:
Status: On
Splash Page: PORTAL_WIFI
SSID: Seleccionar el SSID creado anteriormente en el que aplicará el portal cautivo.
Remote Portal Address: http://<dominio_captive_portal>/login/hotspot/tplink/AC_IP
Authentication Server Type: Remote Authentication Server
Authentication Server Group: Seleccionar el grupo de servidores creado anteriormente.
Cambiar el parámetro AC_IP por la dirección IP del controlador TP-LINK. Ejemplo: https://<dominio_captive_portal>/login/hotspot/tplink/192.168.1.50
2.4 Walled Garden
Por último es necesario indicar los dominios a los que el usuario tendrá acceso libre antes de autenticarse en la red. Para ello acceder a Authentication > Authentication Config y acceder a la pestaña Free Authentication Policy.
Una vez dentro hacer click en Add para añadir cada uno de los dominios necesarios con la siguiente configuración:
Strategy Name: añadir un nombre diferente para cada regla
Match Mode: URL Type
URL Address: añadir la URL del dominio a configurar
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
Una vez realizados estos cambios ir a la pestaña Authentication Parameters, dentro de la configuración Authentication Config, y configurar los siguientes parámetros:
Authentication Aging: enable
Aging Time: 15
Portal Authentication Port: 8080
2.5 AP Group
Para finalizar la configuración de los Access Points hay que asociar el SSID creado al AP Group que contenga los APs donde se radiará la WLAN creada. Para ello acceder a Wireless > Wireless Service y tras seleccionar el SSID creado hacer click en Radio Binding.
Tras ello seleccionar el AP Group dentro del desplegable Select the Group y seleccionar los APs en los que se desea radiar el SSID (tanto en 2.4GHz como en 5GHz) y finalmente hacer click en la opción Bound para que los APs comiencen a radiar el SSID.
2.6 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.
Para poder obtener estas direcciones MAC fácilmente acceder a Status > AP Status y tras seleccionar el AP Group de la instalación que contenga los Access Points se pueden obtener todas las direcciones MAC de los APs en la columna MAC Address.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Omada Controller. Aunque están disponibles los dictionarys radius más comunes y propietarios de Omada, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Idle-Timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos. | Segundos |
Acct-Interim-Interval | Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos. | Segundos |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso