• English

Neuer Hotspot - Aruba IAP

Im Folgenden wird beschrieben, wie Sie einen Aruba IAP (OS 8.10) konfigurieren und mit unserer Hotspot-Lösung SyCes verbinden.

Hinweis: Dies ist eine frühe Version der SyCes2-Software. Weitere Softwarefunktionen und die Unterstützung weiterer Hotspot-Router-Geräte werden derzeit entwickelt. Diese Seite dokumentiert den aktuellen Status und die Einsatzmöglichkeiten von Aruba IAPs für die Hotspot-Lösung SyCes.

Voraussetzungen

Für die Konfiguration des Routers benötigen Sie:

• Administratorzugriff auf den Router
• RADIUS-IP und RADIUS-Secret von SyCes🡕
• Die URL aus den Standortdaten Ihres Mandanten in SyCes (Format: https://backend.syces.de/login/<tenant_id>/<location_id>/)

Dieses Tutorial zeigt die Konfiguration über die GUI-Weboberfläche. Die Konfiguration kann auch über die CLI erfolgen.

Schritt 1: Netzwerk einrichten und Softwareversion prüfen

Bevor Sie fortfahren, stellen Sie sicher, dass der Aruba IAP (Instant Access Point) ordnungsgemäß im Netzwerk eingerichtet ist.

Hinweis: Dieses Tutorial behandelt nicht die grundlegende Netzwerkeinrichtung. Wenden Sie sich bitte an das Netzwerkteam, um sicherzustellen, dass die erforderliche Infrastruktur vorhanden ist und ordnungsgemäß funktioniert.

Sobald das Netzwerk bereit ist, prüfen Sie die Softwareversion des IAP. Navigieren Sie zu:

Maintenance > Firmware

Diese Anleitung basiert auf ArubaOS Version 8.10.0.10. Wenn Sie eine andere Version verwenden, beachten Sie, dass die Konfigurationsschritte oder das GUI-Layout leicht abweichen können. Wir empfehlen ein Update auf die neueste stabile Version, um die Kompatibilität mit den hier bereitgestellten Anweisungen sicherzustellen.

Schritt 2: Authentifizierungsserver einrichten

In diesem Schritt konfigurieren Sie den SyCes RADIUS-Server als Authentifizierungs-Backend für Ihr Aruba IAP-Netzwerk.

Neuen Authentifizierungsserver hinzufügen

1. Navigieren Sie zu Configuration > Security.
2. Öffnen Sie die Liste der Authentication Servers.
3. Klicken Sie auf das Symbol ➕, um einen neuen Eintrag zu erstellen.

RADIUS-Server konfigurieren

1. Type auf RADIUS setzen.
2. Geben Sie einen aussagekräftigen Namen für den Server ein.
3. Geben Sie unter IP Address die RADIUS-IP von SyCes🡕 ein.
4. Geben Sie unter Shared key und Retype key das RADIUS-Secret von SyCes🡕 ein.

Schritt 3: Externes Captive Portal einrichten

In diesem Schritt konfigurieren Sie ein externes Captive Portal, das für die Hotspot-Authentifizierung verwendet wird.

Neues externes Captive Portal hinzufügen

1. Unter Configuration > Security
2. Öffnen Sie die Liste der Einträge für Externe Captive Portale.
3. Klicken Sie auf das Symbol ➕, um ein neues Portal zu erstellen.

Portal konfigurieren

1. Geben Sie einen aussagekräftigen Namen ein.
2. Wählen Sie den Type RADIUS Authentication.
3. Geben Sie unter IP or hostname die SyCes-Backend-Domäne ein:

   backend.syces.de
   

4. Geben Sie unter URL den Anmeldepfad der Standort-URL in SyCes ein (z. B. /login/1/1/).
5. Stellen Sie den Port auf 443 ein und aktivieren Sie Use HTTPS.
6. (Optional) Geben Sie eine Redirect URL ein, wenn Benutzer nach erfolgreicher Anmeldung auf eine bestimmte Seite weitergeleitet werden sollen.
   Hinweis: Wenn der Hostname des SSL-Zertifikats mit der Weiterleitungsadresse übereinstimmt, können aufgrund zwischengespeicherter Einträge nach der Authentifizierung Probleme mit der DNS-Auflösung auftreten. Um dies zu vermeiden, lesen Sie die Empfehlungen in Schritt 5, bevor Sie die Captive-Portal-Einstellungen abschließen.

Schritt 4: Neues Netzwerk einrichten

In diesem Schritt erstellen Sie das Hotspot-Netzwerk und verknüpfen es mit dem zuvor konfigurierten RADIUS-Authentifizierungsserver und dem externen Captive Portal.

Netzwerk erstellen

1. Navigieren Sie zu Configuration > Networks.
2. Klicken Sie auf das Symbol ➕, um ein neues Netzwerk zu erstellen.

Grundeinstellungen

Im Reiter Basic:

• Geben Sie einen aussagekräftigen Namen für das WLAN-Netzwerk ein.
• Legen Sie Primary Usage auf Guest fest.

VLAN-Zuweisung

Weisen Sie im Reiter VLAN das Netzwerk dem Ziel-VLAN für Ihr Gastnetzwerk zu.

Sicherheitseinstellungen

Im Reiter Security:

1. Stellen Sie den Splash page type auf External ein.
2. Wählen Sie in Ihrem Captive-Portal-Profil das zuvor erstellte externe Captive Portal aus.
3. Stellen Sie Authentication server 1 auf den zuvor erstellten Authentifizierungsserver ein.
4. Stellen Sie Accounting auf Use authentication servers ein.
5. Stellen Sie sicher, dass Enhanced Open aktiviert ist.

Zugriffsregeln

Im Reiter Access:

• Legen Sie die Access Rules für Geräte nach der Authentifizierung fest.
• Für die meisten Konfigurationen wird der Unrestricted Modus empfohlen.

Schritt 5: SSL-Zertifikat hochladen (optional)

Um Browserwarnungen bei der Nutzung des externen Captive Portals zu vermeiden, können Sie ein gültiges SSL-Zertifikat auf dem Aruba IAP installieren.

Wenn Sie das standardmäßige lokal signierte Zertifikat verwenden, können Aufrufe von der extern gehosteten Anmeldeseite zurück zum Authentifizierungsendpunkt des IAP Vertrauensprobleme verursachen.

Aktualisieren Sie nach dem Hochladen des neuen Zertifikats die Gateway-URL für den Standort in SyCes, sodass sie mit der Domäne des Zertifikats übereinstimmt, z. B.:

https://<cert-domain>/swarm.cgi

Wichtig: Wenn der Hostname des SSL-Zertifikats mit der in Schritt 3 konfigurierten Weiterleitungs-URL übereinstimmt, können bei Hotspot-Geräten nach der Anmeldung aufgrund zwischengespeicherter Einträge Probleme mit der DNS-Auflösung auftreten.
Um dies zu vermeiden, verwenden Sie ein Zertifikat für einen anderen Hostnamen als die Weiterleitungs-URL.

Zertifikatsdatei vorbereiten

Erstellen Sie eine kombinierte PEM-Datei (z. B. cert_combined.pem) mit folgenden Informationen:

• Ihr Domänenzertifikat (certificate.crt)
• Gegebenenfalls zwischengeschalteten Zertifizierungsstellen (ca_bundle.crt)
• Ihrem privaten Schlüssel (private.key)

Die Datei muss wie folgt strukturiert sein:

-----BEGIN CERTIFICATE-----
# Ihr Domänenzertifikat
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
# Zwischengeschaltete Zertifizierungsstellen
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
# Ihr privater Schlüssel
-----END PRIVATE KEY-----

Neues Zertifikat hochladen

1. Navigieren Sie zu Maintenance > Certificates.
2. Klicken Sie auf Upload New Certificate.

Zertifikatdetails eingeben

1. Wählen Sie die vorbereitete Zertifikatsdatei über Browse aus.
2. Geben Sie einen aussagekräftigen Zertifikatsnamen ein.
3. Wählen Sie den Zertifikatstyp Server.
4. Lassen Sie das Feld Passphrase leer.
5. Klicken Sie auf Upload Certificate.

Zertifikat dem Captive Portal zuweisen

1. Klicken Sie auf der Seite Maintenance > Certificates unter Certificate Usage auf das Symbol ➕.
2. Konfigurieren Sie die Verwendung:
   • Application: Captive portal server
   • Certificate type: Server
   • Certificate name: Wählen Sie das hochgeladene Zertifikat aus.
3. Speichern Sie die Konfiguration.

Schritt 6: Anmeldung testen

Führen Sie nach der vollständigen Konfiguration des IAP einen Funktionstest durch, um sicherzustellen, dass der Hotspot wie vorgesehen funktioniert.

1. Verbinden Sie ein Testgerät mit dem neu erstellten WLAN.
2. Das Gerät sollte automatisch zum externen Captive Portal von SyCes weitergeleitet werden.
3. Überprüfen Sie, ob alle konfigurierten Hotspot-Funktionen korrekt funktionieren, einschließlich:
   • Anmeldung mit allen konfigurierten Authentifizierungsmethoden
   • Registrierung oder Self-Service-Optionen (falls aktiviert)
   • Anzeige der Nutzungsbedingungen und korrekte Sprachumschaltung

Tipp: Testen Sie mit verschiedenen Gerätetypen (Smartphones, Tablets, Laptops) und verschiedenen Browsern, um maximale Kompatibilität zu gewährleisten.

Problembehebung

Sollten bei der Konfiguration Ihres Routers Probleme oder unerwartetes Verhalten auftreten, kontaktieren Sie uns bitte über tsp-ms-dev@concat.de.