Función PPSK con diferentes servidores RADIUS Guía de configuración
Es posible que las actualizaciones recientes hayan ampliado el acceso a las funciones analizadas en estas preguntas frecuentes. Visite la página de soporte de su producto, seleccione la versión de hardware correcta para su dispositivo y consulte la hoja de datos o la sección de firmware para conocer las últimas mejoras agregadas a su producto.
1. Introducción a PPSK
La clave privada precompartida (PPSK) es una clave precompartida única creada para un único usuario en el mismo SSID. Estas claves se pueden utilizar para redes más pequeñas dentro del mismo SSID, cada una con una contraseña diferente pero compartiendo la misma red Wi-Fi. PPSK admite el acceso con múltiples contraseñas para un SSID, y a cada usuario se le asigna una contraseña independiente. Si se revelan algunas contraseñas, solo es necesario cambiar las contraseñas filtradas, evitando el impacto en todos los usuarios y, por lo tanto, más resistentes a los riesgos. Mientras tanto, el proceso de autenticación entre el punto de acceso y el cliente requiere un protocolo de enlace de cuatro vías, que puede mejorar la seguridad de las contraseñas. PPSK se clasifica en PPSK sin RADIUS y PPSK con RADIUS. La función PPSK debe configurarse en el controlador Omada. Antes de la configuración, asegúrese de que tanto el EAP como el controlador Omada admitan PPSK.
Esta guía presentará cómo configurar PPSK utilizando el servidor RADIUS integrado en el controlador Omada y otros servidores RADIUS externos (por ejemplo, FreeRadius, Rgnet, RoamingIQ y ElevenOS).
1.1 Escenarios
Para escenarios domésticos, configurar una única clave precompartida (PSK) para cada SSID puede garantizar la seguridad, mientras que para las empresas, usar la misma PSK puede conducir fácilmente a la filtración de contraseñas, generando riesgos de seguridad. PPSK puede proporcionar un PSK único para cada terminal o usuario y así ofrecer una solución más segura y ampliable en comparación con el PSK tradicional. PPSK se utiliza principalmente para dos propósitos:
- Los usuarios pueden tener contraseñas de Wi-Fi independientes según sea necesario.
- Los datos del usuario se pueden transmitir dentro de las VLAN, lo que permite aplicaciones más amplias en escenarios de red como hoteles, oficinas, escuelas y dormitorios.
En escenarios con una gran cantidad de usuarios (por ejemplo, MDU), MSP puede usar servidores RADIUS externos (por ejemplo, FreeRadius, Rgnet, RoamingIQ y ElevenOS) para configurar más PPSK para la red.
VLAN 1.2 PPSK
PPSK admite VLAN dinámica, con cada PSK vinculada a una única VLAN, por lo que el cliente será asignado a la VLAN específica después de usar la PSK para la autenticación. Para PPSK sin RADIUS, la asignación de VLAN se puede configurar en el perfil PPSK para SSID. Para PPSK con RADIUS, se puede asignar VLAN en el servidor RADIUS. Junto con otras funciones de VLAN en el controlador Omada, esto permite una planificación y gestión de red más flexible y potente.
1.3 PPSK sin RADIO
PPSK sin RADIUS es un nuevo método de cifrado basado en cifrado WPA-Personal, que verificará la dirección MAC del usuario para la autenticación y asignará al usuario a una VLAN específica después de una autenticación exitosa. Al configurar PPSK sin RADIUS, seleccione el método de cifrado apropiado en el modo WPA.
PPSK sin RADIUS Pasos de configuración:
Paso 1 : cree una nueva red inalámbrica en el controlador Omada y elija PPSK sin RADIUS como seguridad.
Paso 2 : Haga clic en Crear nuevo perfil PPSK en la lista desplegable de Perfil PPSK.
Explicación de los parámetros:
Parámetro |
Explicación |
Requisito de parámetro |
Nombre |
El nombre del perfil PPSK. Un único perfil puede contener varias PPSK. |
La longitud del nombre debe tener entre 1 y 64 caracteres. |
Nombre(PPSK1) |
El nombre de la entrada PPSK. |
La longitud del nombre debe tener entre 1 y 64 caracteres. |
frase de contraseña |
La clave utilizada para el acceso a la red. |
La longitud de la frase de contraseña debe tener entre 8 y 63 caracteres. |
Dirección MAC |
La dirección MAC vinculada a la frase de contraseña. Solo el dispositivo con la dirección MAC especificada puede usar la frase de contraseña para la autenticación Wi-Fi. Esta configuración es opcional. Si no está configurado, cualquier dispositivo puede usar la frase de contraseña para conectarse a Wi-Fi. |
La dirección MAC debe ser de unidifusión. |
asignación de VLAN |
La VLAN vinculada a la frase de contraseña. El cliente que utilice esta frase de contraseña para la autenticación será asignado a la VLAN especificada. |
La ID de VLAN debe estar en el rango de 1-4094. |
1,4 PPSK con RADIO
PPSK con RADIUS se basa en cifrado personal WPA y autenticación basada en MAC. Para conectarse al SSID configurado con PPSK con RADIUS, el usuario solo necesita ingresar la contraseña asignada para acceder a la red. Para PPSK con RADIUS, las frases de contraseña del SSID se pueden configurar en el controlador Omada. Se puede configurar un SSID con múltiples frases de contraseña (128 entradas como máximo). Al configurar las frases de contraseña, también se pueden especificar direcciones MAC y VLAN para realizar la autenticación de dos factores y la asignación de VLAN.
PPSK con pasos de configuración RADIUS:
Paso 1 : cree una nueva red inalámbrica en el controlador Omada y elija PPSK con RADIUS como seguridad.
Paso 2 : Haga clic en Crear nuevo perfil RADIUS en la lista desplegable de Perfil RADIUS.
Explicación de los parámetros:
Parámetro |
Explicación |
Requisito de parámetro |
Nombre |
El nombre del perfil RADIUS. |
La longitud del nombre debe tener entre 1 y 64 caracteres. |
Asignación de VLAN |
Haga clic en la casilla de verificación para permitir que el servidor RADIUS asigne un usuario inalámbrico a una VLAN específica según la frase de contraseña proporcionada por el usuario. |
Haga clic en la casilla de verificación. |
IP del servidor de autenticación |
La dirección IP del servidor RADIUS. |
Direcciones IP legales de clase A/B/C. |
Puerto de autenticación |
El número de puerto del servicio RADIUS. |
1-65535 |
Contraseña de autenticación |
La contraseña utilizada para conectarse al servidor RADIUS. |
Código ASCII (0-127) |
2. Configuración del servidor RADIUS integrado en el controlador Omada
En el controlador Omada y el controlador Omada Pro, hay un servidor RADIUS integrado para Generic Radius con autenticación MAC vinculada, lo que ahorra a los usuarios la molestia de crear un servidor RADIUS externo. De forma predeterminada, la dirección IP del servidor integrado es la misma que la del Controlador y el puerto de autenticación es 1812. La dirección IP del servidor integrado y el puerto de autenticación también se pueden personalizar. La contraseña o el secreto de autenticación lo personaliza el usuario.
Pasos de configuración:
Paso 1 : Vaya a Global->Configuración del servidor y habilite RADIUS integrado.
Paso 2 : cree un SSID configurado con PPSK con RADIUS y elija Perfil de radio incorporado como perfil RADIUS.
Paso 3: cree un perfil PPSK. Establezca frases de contraseña utilizadas para la conexión SSID y especifique direcciones MAC y VLAN.
3. Pasos de configuración de FreeRadius
3.1 Configuración de gestión web de daloradius
Paso 1 : Vaya a Administración > Nuevo usuario.
Paso 2 : en la sección Autenticación de nombre de usuario de Información de cuenta, ingrese el nombre de usuario y la contraseña, que son la dirección MAC del dispositivo. El formato de la dirección MAC debe ser el mismo que el siguiente.
Paso 3 : vaya a Atributos y seleccione Localizar rápidamente el atributo con entrada de autocompletar.
Paso 4 : seleccione el atributo en la lista desplegable y haga clic en Agregar atributo.
Paso 5 : agregue el atributo Tunnel-Password e ingrese el valor que será la frase de contraseña para la conexión SSID.
Paso 6 : Agregue los atributos de Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-Id e ingrese los valores respectivamente para habilitar la asignación de VLAN para PPSK.
3.2 Configuración CLI
usuarios: un archivo que se puede configurar para administrar y autorizar la información del usuario.
cd /etc/raddb: un comando utilizado para ingresar a la carpeta de destino que contiene el archivo de los usuarios.
Usuarios de vim: un comando utilizado para editar el archivo de la siguiente manera.
esc :wq: un comando utilizado para guardar la configuración y salir del modo de edición.
reiniciar: un comando utilizado para reiniciar el servidor FreeRadius para que la configuración entre en vigor.
El comando DEFAULT Auth-Type = Aceptar indica que los dispositivos con cualquier dirección MAC pueden usar la contraseña para la autenticación.
El puerto de autenticación y la contraseña del servidor FreeRadius se pueden personalizar en el archivo /etc/raddb/site-available/default. El comando entrará en vigor después de que se reinicie el servidor. Utilice los comandos de service radiod stop y radiod –X para reiniciar el servidor.
4. Pasos de configuración del servidor RgNet
4.1 Instalación del servidor RgNet
Vaya al sitio web oficial de RgNet ( https://www.rgnets.com ) y regístrese para obtener una cuenta rXg gratuita. Consulte la guía oficial Primeros pasos | RG Nets para descargar el archivo de imagen del servidor y completar la configuración inicial. El servidor RXg utilizado en esta guía está instalado en la máquina virtual VMware.
Nota: El host para instalar el servidor rXg debe tener un alto rendimiento, por lo que se recomienda poseer 4 procesadores y al menos 2 adaptadores de red virtuales con 8 GB o más de RAM.
4.2 Configuración del servidor RXg
Después de instalar la máquina virtual, ingrese 192.168.5.1 en la barra de direcciones del navegador web para cargar la página web para la configuración inicial. El sistema antes de la instalación no tiene licencia y se encuentra en un estado atenuado e inutilizable. Vaya a Licencia y se creará una IUI. La IUI la crea el sistema Free rXg en función de la información del host e identifica de forma única ese host específico, lo que significa que la IUI cambiará y se requerirá una nueva licencia si la imagen de la máquina virtual se migra a otro host. Luego vaya a rXg Asset Manager ( https://store.rgnets.com/asset_manager ) para activar la licencia. Ingrese la IUI para obtener el código de activación y copie y pegue el código en el sistema Free rXg para completar la activación. Después de la activación, la configuración se completa y puede comenzar a configurar el sistema Free rXg.
Paso 1: crear una nueva entrada de controlador WLAN en el servidor rXg
Vaya a Controlador de red-Wireless-WLAN en el servidor rXg, haga clic en Crear nuevo para ingresar la información correspondiente y haga clic en Crear.
Paso 2: crear un nuevo SSID
Vaya a Red-Wireless-WLAN en el servidor rXg, haga clic en Crear nuevo para ingresar la información correspondiente y haga clic en Crear. En Aprovisionamiento, el Controlador debe ser el mismo que el creado en el Paso 1. En Configuración WLAN, el SSID debe corresponder al establecido en el Controlador. Elija WPA2 para cifrado y PSK múltiple para autenticación.
Paso 3: Editar grupo de IP
Vaya a Identidades->Grupos de IP para editar la entrada de Grupos de IP creada automáticamente. En Miembros->Dirección , elija LAN de administración (192.168.5.x/24) y guarde la configuración.
Paso 4: crear grupo de cuentas y cuenta
Vaya a Identidades -> Cuentas , haga clic en Crear nuevo para agregar un grupo de cuentas, haga clic en la casilla de verificación Deshabilitar seguridad PSK mejorada y elija la entrada tp-link Omada que acaba de crear para Política.
Vaya a Crear cuenta e ingrese el nombre de usuario y la contraseña para iniciar sesión, el nombre y apellido y el correo electrónico. En Sesiones, haga clic en la casilla de verificación Aprovisionamiento automático y en la casilla de verificación Ilimitado para sesiones y dispositivos Max, e ingrese la clave precompartida para la autenticación.
Paso 5: crear dominios de servidor Radius
Vaya a Servicios->Radius , cree un dominio de servidor Radius y elija la entrada de política que acaba de configurar.
Paso 6: Editar el atributo TPLink-EAPOL-Found-PMK
Vaya a Servicios->RADIUS . Si no hay TPLink-EAPOL-Found-PMK en la lista de atributos del servidor RADIUS, consulte las siguientes imágenes para agregar el atributo. Seleccione el atributo en RADIUS Server Realms.
Paso 7: crear opciones de servidor Radius
Vaya a Servicios->RADIUS , cree una entrada de opción de servidor Radius y elija la entrada de política que acaba de configurar.
4.3 Configuración del controlador Omada
Paso 1: crear un nuevo perfil RADIUS
Ingrese la dirección IP del servidor RXg (192.168.5.1) para la IP/URL del servidor de autenticación y la IP/URL del servidor de contabilidad. El puerto de autenticación es 1812 y el puerto de contabilidad es 1813. Asegúrese de que las contraseñas de autenticación/contabilidad/CoA correspondan con las establecidas en la columna Secreto de las Opciones del servidor RADIUS en el servidor rXg.
Paso 2: crear un nuevo SSID
Cree un nuevo SSID y elija PPSK con RADIUS como seguridad. Seleccione el perfil RADIUS creado en el servidor RXg. Tenga en cuenta que la banda de 6 GHz no debe estar habilitada.
5. Pasos de configuración del servidor RoamingIQ
5.1 Configuración del servidor en la nube RoamingIQ
Paso 1: inicie sesión en el servidor en la nube
Vaya a https://tplink.wifikey.io/ e inicie sesión en el portal web del servidor en la nube o utilice la cuenta de administrador de prueba local.
Paso 2: acceda a la página de inicio
Haga clic en el icono de administrador en la esquina superior derecha y seleccione Cuenta de administrador de red para ingresar a la página de inicio de configuración del servidor en la nube.
Paso 3 Crear lugar
Haga clic en Agregar nuevo lugar .
Ingrese la información del lugar.
Paso 4 Crear unidad
Haga clic en Agregar nueva unidad.
Ingrese la información de la Unidad. Agregue la Unidad en el Lugar que acaba de crear.
Paso 5 Crear SSID
Haga clic en el lugar que acaba de crear en la página de inicio para obtener más configuraciones.
Vaya a Grupos de claves.
Cree un nuevo SSID en el lugar actual y haga clic en Agregar grupo de claves.
Vaya a Plan de servicio y elija el plan de servicio necesario.
Paso 6: crear residente
Haga clic en el icono de administrador en la esquina superior derecha y seleccione Cuenta de administrador de Venue para ingresar a la página de configuración de Venue.
Seleccione el lugar que acaba de crear en la esquina superior izquierda e ingrese al lugar.
Haga clic en Agregar nuevo residente para establecer la contraseña para cada usuario.
Complete la información del Residente. La dirección de correo electrónico debe ser válida para recibir la información PPSK. Será necesario crear una nueva dirección de correo electrónico para crear una cuenta de usuario siguiendo el enlace en el correo electrónico de respuesta del servidor durante el uso por primera vez.
Paso 7: inicie sesión en la cuenta de usuario
Vaya a https://tplink.wifikey.io/ e inicie sesión en el servidor de la nube. Utilice la cuenta de correo electrónico mencionada anteriormente para iniciar sesión.
Después de iniciar sesión, seleccione la Unidad (perfil) y SSID (Red) para elegir la red a la que desea conectarse. Utilice la contraseña de Wi-Fi o escanee el código QR para conectarse a la red inalámbrica. También puede ver otros dispositivos conectados a la red inalámbrica y monitorear su uso de datos en tiempo real.
5.2 Configuración del controlador Omada
Paso 1 Adopte el dispositivo EAP en el controlador Omada
Paso 2 Crear nuevo perfil RADIUS
Ingrese la dirección IP, la autenticación y los puertos y contraseñas de contabilidad del servidor en la nube. Habilite la asignación de VLAN para la red inalámbrica. Actualmente, el servidor en la nube no admite CoA.
Paso 3: crear un nuevo SSID
El SSID debe ser el mismo que el configurado en el servidor de la nube. Elija PPSK con Radius como seguridad y seleccione el perfil RADIUS recién creado. Actualmente, solo se admite Generic Radius con MAC independiente para el tipo de autenticación.
También se debe especificar el ID del NAS. Se puede encontrar en los detalles del perfil del lugar en el servidor en la nube.
Paso 4 Conéctese al SSID
Utilice la contraseña de Wi-Fi o escanee el código QR para conectarse a la red inalámbrica.
6. Pasos de configuración del servidor ElevenOS
La configuración del servidor de ElevenOS requiere dos sitios web: Secure.11os.com y app.wifiuseradmin.com . El primer sitio web se utiliza para habilitar servicios y registrar información de los residentes. El usuario debe comprar un ElevenOS para obtener una cuenta para utilizar el sitio web. El segundo sitio web también se conoce como Administrador del sitio y se utiliza para administrar sitios y usuarios de red en los sitios. La cuenta del segundo sitio web se crea mediante la invitación de la cuenta comprada anteriormente. Los dos sitios web están conectados mediante las API en el Administrador del sitio.
6.1 Configuración de Secure.11os.com
Paso 1 Crear nuevo sitio
Vaya a CONFIGURACIÓN y haga clic en Agregar organización . Complete la información básica del sitio y haga clic en Crear.
Haga clic en Ir en vivo para activar el sitio. La cadena de números y letras (ORG ID) en la esquina superior derecha es la ID de NAS requerida para la configuración del controlador Omada.
Paso 2: crear área de servicio
Vaya a CONFIGURACIÓN en el sitio, elija Agregar organización y cree una nueva área de servicio.
Paso 3 Configurar atributos
Vaya a Atributos , haga clic en Agregar atributos y configure los atributos de Juno, ResidentPan, ZoneType y KeyService, que representan cuatro servicios diferentes respectivamente. Junio se refiere a habilitar Portal Manager, ResidentPan indica servicios de mapeo PAN, ZoneType representa escenarios y KeyService significa habilitar servicios de contabilidad. Para obtener más información sobre otros atributos, consulte Comprender los atributos de organización personalizados de ElevenOS – Eleven (elevensoftware.com) .
Paso 4: crear portal
Vaya a CONFIGURACIÓN y elija Portal. Configurar la UI del Portal para que los usuarios proporcionen su información y correo electrónico para obtener la contraseña generada por el servidor de ElevenOS.
Paso 5: configurar el mapeo PAN
Vaya a CONFIGURACIÓN y elija Mapeo PAN. Cree VLAN correspondientes a las unidades. Aquí, la configuración de VLAN es obligatoria.
Paso 6: configurar el perfil de conexión
Vaya a CONFIGURACIÓN y elija Perfil de conexión . Seleccione Centralized-ElevenOS para obtener la clave de acceso personal. El SSID configurado en el controlador debe ser el mismo que el SSID de red aquí. Configure el patrón de clave en Configuración de clave. Puede elegir patrones numéricos, de sustantivos y adjetivos o un patrón mixto. Las contraseñas obtenidas por los usuarios a través de sus correos electrónicos son similares a la clave de ejemplo.
6.2 Configuración del administrador del sitio
Paso 1 : haga clic en Importar sitio para importar el sitio 11OS creado. Vaya al sitio importado y haga clic en Nuevo residente para registrar la información del usuario, incluida la dirección de correo electrónico, la unidad, la VLAN asignada y el período de validez de la contraseña.
Paso 2 : El servidor 11OS enviará un correo electrónico al usuario, incluyendo información como el nombre del SSID y la contraseña, con los que el usuario podrá conectarse al SSID.
6.3 Configuración del controlador Omada
Paso 1 : cree un nuevo SSID y elija EKMS como tipo de autenticación.
Nota: EKMS solo es compatible con Omada Pro Controller y Omada Software Controller (versión 5.14.0 y superior).
Paso 2 : cree un nuevo perfil RADIUS. Ingrese los parámetros correspondientes y el EAP enviará una solicitud al servidor de Eleven OS para autenticación y conexión de red.
7. Preguntas frecuentes
Durante la configuración de los servidores existen diversos motivos que pueden provocar un fallo en la asociación de autenticación cliente-servidor o en la conexión de red. A continuación se detallan algunas razones comunes que pueden causar que los clientes inalámbricos no se conecten al servidor RADIUS. Puede seguir los pasos de solución de problemas para solucionar los problemas encontrados:
1. Consulte los pasos de solución de problemas en No se puede conectar a EAP WiFi .
2. Verifique las versiones del firmware EAP y del controlador Omada para asegurarse de que las versiones del firmware EAP y del controlador Omada admitan la funcionalidad PPSK.
3. Verifique la conectividad de su servidor RADIUS. Verifique que la configuración del perfil RADIUS sea correcta, que el servidor RADIUS esté en línea y que se pueda acceder a la conexión entre el dispositivo EAP y el servidor RADIUS.
4. Asegúrese de que el SSID para el cual ha habilitado PPSK en el controlador Omada coincida con el configurado en el servidor RADIUS.
Si los pasos anteriores no resuelven el problema, comuníquese con el Soporte técnico de TP-Link para obtener más ayuda.