4ipnet
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento 4ipnet para la integración con Octopus Platform
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Servers
Radius Authentication
A continuación realizaremos la configuración de los servidores Radius para la validación de los usuarios en el portal cautivo. En primer lugar accedemos a Users > External Authentication > RADIUS y editamos el deseado con los siguientes parámetros:
NAS Identifier: FOURIPNET
Attributes Priority:
Acct Interim Interval: 10 Minutes
IMPORTANTE: Cambiar el valor del combo que aparece como “Overwrite Server’s Settings” por el valor “Set if not Present”, ya que de lo contrario se obtendrán tiempos de sesión erróneos.
Retransmission Settings:
Number of Retries: 2
Timeout: 3
Primary RADIUS Server:
Authentication Server: <IP_Radius_1>
Authentication Port: 1812
Authentication Secret Key: <Secret>
Authentication Protocol: PAP
Accounting Service: Enable
Accounting Server: <IP_Radius_1>
Acounting Port: 1813
Accounting Secret Key: <Secret>
Secondary RADIUS Server:
Authentication Server: <IP_Radius_2>
Authentication Port: 1812
Authentication Secret Key: <Secret>
Authentication Protocol: PAP
Accounting Service: Enable
Accounting Server: <IP_Radius_2>
Acounting Port: 1813
Accounting Secret Key: <Secret>
Authentication Server
Para que el fabricante no devuelva error de Authentication Option (associated with the postfix) is not found, es necesario definir un Postfix con el nombre del Realm asociado al Localizaciones dentro de la plataforma.
Para ello dentro de la Plataforma WiFi, acceder a Configuración > Organización para visualizar el Listado de clientes y poder obtener el parámetro REALM del Localizaciones en cuestión.
Por último, acceder dentro de la configuración del fabricante a Users > Authentication Servers y editar el server Authentication RADIUS:
Y rellenar con los siguientes parámetros:
User Postfix: <REALM>
2.2 Portal cautivo
Debemos configurar ahora el portal cautivo al que redirigiremos a los usuarios para poder validarse en el servicio WiFi. Para ello acceder a System > Service Zones y configurar el apartado “Authentication Settings” primero para habilitar las políticas de acceso a la zona elegida:
Authentication: Enable
Portal URL: Url a la que se quiere redirigir finalmente al usuario. Se puede forzar una en concreto (marcando la opción “Specific”), dejar la original a la que navegó el usuario (opción “Original”) o no forzar ninguna (opción “None”).
Authentication Options: marcar como “default” y “enabled” la opción RADIUS creada en el paso anterior
Resto de opciones dejarlas por defecto.
Posteriormente pulsamos en Login Page Customization y posteriormente en General Login Page y configuramos con los siguientes parámetros:
Use External Page: Selecccionado
External URL: https://<dominio_captive_portal>/login/hotspot/fouripnet
Finalmente, configuraremos la URL a la que serán redirigidos los usuarios después de logarse. Para ello accedemos a System > Service Zones y editar la zona donde deseamos realizar la configuración. Pulsamos en Login Page Customization y posteriormente en Service Disclaimer. Si se desea configurar la redirección desde la plataforma WiFi, accedemos a Login Success Page y configuramos con los siguientes parámetros:
Use External Page: Selecccionado
External URL: https://<dominio_captive_portal>/login/hotspot/landing/wifiarea/WIFIAREA_ID/WLAN_ID
Para obtener los parámetros WIFIAREA_ID y WLAN_ID para completar la URL anterior, acceder a la plataforma WIFI y dentro de la configuración de la Localización acceder a WLAN > Redirecciones por tipo de acceso. A continuación puede obtenerse la URL a configurar para la redirección externa de cada SSID tras la validación del usuario.
2.3 Walled Garden
El siguiente paso es añadir los dominios a los que el usuario tendrá acceso libre antes de validarse en el portal cautivo. Para ello acceder a Network > Walled Garden y pulsar en Add Walled Garden List. Rellenar con los siguientes parámetros:
Domain Name/IP Address/URL: dominio a liberar
Walled Garden:
Active: Seleccionado
Service Zone: Seleccionar la zona donde se ha configurado el portal cautivo
Por último pulsar en Apply para guardar los cambios.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.4 Configuración proceso login HTTP o HTTPS
Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.
Opción HTTP
Dejando valores por defecto, podremos utilizar esta configuración.
Opción HTTPS
El controlador tiene un certificado predeterminado de fábrica incorporado (gateway.example.com) que no se puede eliminar, pero permite cargar nuevos certificados. Para ello accedemos a Main Menu > Utilities > Certificate y editamos el certificado System Certificate que es el que se usará para el login HTTPS:
Para subir el nuevo certificado pulsar en Browse y seleccionar los 3 archivos facilitados por el equipo de Soporte:
Certificate: certificate.crt
Private Key: certificate.key
Intermediate CA: certificate.ca.crt
Para finalizar pulsamos en Upload Files.
Por último, es necesario seleccionar el certificado para que pueda ser utilizado en el proceso de login. Para ello accedemos a General Settings y configuramos con los siguientes parámetros:
HTTPS Certificate: nombre del nuevo certificado.
User HTTPS Login: Enable
Secure: Habilitado
Internal Domain Name: Habilitar Use the name on SSL certificate (cambiará automáticamente al reiniciar la controladora)
Por último Aplicar los cambios y reiniciar la controladora:
Para confirmar que todo se ha cargado correctamente podemos verificar que se ha cambiado el Internal Domain Name:
Este subdominio asociado al certificado resolverá a la IP de gestión del controlador.
2.5 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso, se debe añadir la MAC WAN del controlador. Para obtenerla acceder a Status > System Summary > System Report y seleccionar la Interfaz WAN de la salida a internet para obtener la dirección MAC Address:
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi.
3.1 Configuración Captive portal + MAC Authentication
Para activar la autenticación por MAC es necesario editar la zona habilitada para el portal cautivo y habilitar esta opción. Para ello debemos acceder a System > Service Zones, seleccionar la zona a configurar y dentro del apartado “Authentication Settings” marcar como enabled la configuración denominada “MAC authentication” y seleccionando el servidor RADIUS dado de alta anteriormente en el combo habilitado “MAC Auth. Server”: