Ruckus Unleashed

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en la solución Ruckus Unleashed para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

Para configurar todos los parámetros relacionados con el Servidor Radius al que se enviarán las peticiones de validación acceder a Admin & Services > Services > AAA Servers > Authentication Servers y crear dos nuevas entradas, una para el servidor de Radius Authentication y otra para el de Radius Accounting. A continuación se muestran las configuraciones para cada uno de ellos:

Radius Authentication:

  • Name: RADIUS

  • Type: RADIUS

  • Auth Method: PAP

  • Backup RADIUS: Enable

  • IP Address First Server: <IP_Radius_1>

  • Port: 1812

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • IP Address Second Server:<IP_Radius_2>

  • Port:1812

  • Sharet Secret:<Secret>

  • Confirm Secret: <Secret>

  • Request timeout: 3 seconds

  • Max Numbers of Retries: 2 times

Radius Accounting:

  • Name: RADIUS_ACC

  • Type: RADIUS Accounting

  • Backup RADIUS: Enable

  • IP Address First Server: <IP_Radius_1>

  • Port: 1813

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • IP Address Second Server:<IP_Radius_2>

  • Port: 1813

  • Sharet Secret:<Secret>

  • Confirm Secret: <Secret>

  • Request timeout: 3 seconds

  • Max Numbers of Retries: 2 times

2.2 Captive Portal

Para configurar el portal cautivo de la plataforma WIFI acceder a Admin & Services > Services > Hotspot Services y crear un nuevo Hotspot Service configurando los siguientes parámetros:

Pestaña General

  • Name: WIFI

  • WISPr Smart Client Support: None

  • Login Page (revisar apartado 2.5 para que la redirección de la url sea http o https):

    • Opción https: https://<dominio_captive_portal>/login/hotspot/ruckus

    • Opción http: http://<dominio_captive_portal>/login/hotspot/ruckus

  • After user is authenticated: Seleccionar Redirect to the URL that the user intends to visit si se desea gestionar la redirección desde la plataforma WIFI.

  • Grace Period: Habilitar e indicar 30 minutos.

Pestaña Authentication

  • Authentication Server: seleccionar el servidor Radius de Authentication creado anteriormente. En el caso del ejemplo sería: RADIUS

  • Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente. En el caso del ejemplo sería: RADIUS_ACC

  • Send Interim-Update every: 10 minutes

Pestaña Walled Garden

  • Añadir los dominios a los que los usuarios tendrán acceso libre antes de validarse en el portal cautivo.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.3 WLANs

Una vez creado el Hotspot Service se debe asociar al SSID que radiarán los APs. Para ello ir a WiFi Networks y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:

  • Name: configurar SSID que radiarán los APs.

  • Usages Type: Hotspot Service 

  • Hotspot Services: seleccionar el portal cautivo creado anteriormente. En el ejemplo sería WIFI

  • Hide advanced options > Access VLAN: se puede configurar el ID de VLAN asociada al SSID.

2.4 Configuración Called-Station-ID

IMPORTANTE: Es necesario cambiar el formato del Called Station ID que envía el equipo, lo cual únicamente se puede realizar por comandos. Por lo que es necesario acceder al equipo por SSH y una vez dentro del equipo ejecutar los siguientes comandos:

  • enable, para entrar en modo privilegiado.

  • config, para entrar en modo configuración global.

  • wlan nombre_wlan, para entrar en la configuración de la WLAN en cuestión donde se activará el hotspot.

  • called-station-id-type ap-mac, para cambiar el formato de envío a nuestro servidor.

  • end, para salirse de la configuración y guardar los cambios realizados

2.5 Opción configuración proceso login: HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.

Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.

Opción HTTPS

 

Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP del AP maestro, de lo contrario las validaciones no se redirigirán al AP y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

 

Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Para ello acceder a Admin & Services > Administration > Certificate y dentro de la pestaña Import Signed Certificate hacer click en el botón Seleccionar archivo para subir el archivo seleccionado.

El primer certificado que se debe subir es el archivo certificate.pem. Una vez que se ha elegido el archivo, seleccionar la opción Accept this certificate and then install a private key to match your certificate y hacer click en el botón Import.

A continuación es necesario subir el segundo certificado: certificate.key. Una vez seleccionado en el desplegable, seleccionar la opción Install this certificate and additional intermediate certificates y hacer click en el botón Import.

Tras subir la key del certificado es necesario subir el último certificado proporcionado. Para ello, seleccionar el certificado certificate.ca.crt en la pestaña Import Intermediate Certificates y seleccionar la opción Install this intermediate certificate and then reboot y hacer click en el botón Import.

Tras hacer click en Import el controlador se reiniciará para aplicar los cambios.

En el AP Master de Unleashed, el cambio de certificado para el portal cautivo también afecta al certificado que se usa para acceder a la gestión del AP vía web. Por lo que para poder acceder al dispositivo será necesario usar un acceso HTTPS y con la dirección IP del controlador. Si por el contrario se accede mediante HTTP será redirigido al dominio securelogin.<dominio_certificado> y no podrá acceder al equipo si no se ha añadido una entrada estática en el DNS que asocie dicho dominio a la IP del controlador.

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Estas direcciones MAC son fácilmente accesibles desde Access Points y editando cada uno de los Access Point se observa la MAC Address

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1  Configuración Captive portal + MAC Authentication

Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI, puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional. Para ello seguir los pasos:

  • Dirigirse a Admin & Services > Services > Hotspot Services > Seleccionar el que nos interese.

  • Seleccionar la opción Enable MAC authentication bypass (no redirection)

  • Seleccionar la opción Use device MAC address as authentication password

3.2 Configuración MAC Authentication.

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a WiFi Networks y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:

  • Name: configurar SSID por ejemplo Mac_Auth_Guest

  • Usages Type: Standard 

  • Authenticacion Method: seleccionar MAC Address.

  • Authenticacion Server: seleccionar el servidor Radius de Authentication creado anteriormente (punto 2.1). En el caso del ejemplo sería: RADIUS

  • Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente (punto 2.1). En el caso del ejemplo sería: RADIUS_ACC

  • Hide advanced options > Access VLAN: se puede configurar el ID de VLAN asociada al SSID.

Una vez realizada la configuración anterior dirigirse a Admin & Services > Services > Hotspot Services > Seleccionar el que nos interese.

  • Seleccionar la opción Enable MAC authentication bypass (no redirection)

  • Seleccionar la opción Use device MAC address as authentication password

3.3 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Ruckus. Aunque están disponibles los dictionarys radius más comunes y propietarios de Ruckus, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

WISPr-Bandwidth-Max-Down

Define límites de velocidad de bajada. Tiene que ser configurado en Bytes.

Bytes

WISPr-Bandwidth-Max-Up

Define límites de velocidad de subida. Tiene que ser configurado en Bytes.

Bytes

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso