Skip to main content
বাংলা
মূল্য

গেস্ট WiFi-এর জন্য ওয়াল্ড গার্ডেন কনফিগারেশন

This guide provides a comprehensive, vendor-neutral technical reference for configuring walled gardens in enterprise guest WiFi deployments. It covers the architecture of pre-authentication access, the critical role of dynamic DNS resolution, social login domain whitelisting, OS captive portal probe requirements, and compliance considerations under PCI DSS and GDPR. Aimed at IT managers, network architects, and venue operations directors, it delivers actionable implementation guidance with real-world case studies from hospitality, retail, and events environments.

📖 11 মিনিট পাঠ📝 2,695 শব্দ🔧 2 উদাহরণ3 প্রশ্ন📚 9 মূল শব্দসমূহ

🎧 এই গাইডটি শুনুন

ট্রান্সক্রিপ্ট দেখুন
PODCAST SCRIPT: Walled Garden Configuration for Guest WiFi Purple WiFi Intelligence Platform — Technical Briefing Series Duration: Approximately 10 minutes Voice: UK English, senior consultant tone — confident, conversational, authoritative --- [INTRO — 1 MINUTE] Welcome to the Purple Technical Briefing Series. I'm your host, and today we're tackling one of the most consistently misunderstood elements of enterprise guest WiFi deployment: the walled garden. If you've ever had a guest WiFi rollout where users couldn't get past the splash page — couldn't log in with Google, couldn't load the captive portal at all — there's a very good chance the walled garden configuration was the culprit. And yet, it's one of those things that rarely gets the attention it deserves in a network design brief. In the next ten minutes, I want to give you a clear, practical picture of what a walled garden actually is, why it matters, which domains you need to whitelist, and how social login integrations change the equation. Whether you're deploying guest WiFi across a hotel estate, a retail chain, a stadium, or a public sector estate, this briefing will give you the configuration framework you need to get it right first time. Let's get into it. --- [TECHNICAL DEEP-DIVE — 5 MINUTES] So, what is a walled garden in the context of guest WiFi? Think of it this way. When a guest device connects to your WiFi network but hasn't yet authenticated through your captive portal, that device is in a kind of limbo state. It has an IP address. It can send and receive packets. But your network controller — whether that's a Cisco Meraki, a Ruckus SmartZone, a Fortinet FortiGate, or a cloud-managed Aruba platform — is intercepting all outbound HTTP and HTTPS requests and redirecting them to your splash page. The walled garden is the set of domains and IP addresses that are explicitly permitted to pass through that interception layer before authentication completes. Everything else is blocked. That's the wall. The garden is the curated space inside it — the small, controlled set of resources a guest can reach before they've proven who they are. Now, why does this matter so much? Because modern captive portals are not self-contained. They depend on external services to function. Your splash page might be hosted on a CDN. Your social login buttons call OAuth endpoints at Google, Facebook, Apple, or Microsoft. Your analytics platform might be loading tracking scripts. Your payment gateway — if you're charging for premium access — needs to load its own JavaScript and make API calls. Every single one of those external dependencies needs to be explicitly whitelisted in your walled garden, or the authentication flow will break. Let me walk you through the categories of domains you need to consider. First: your captive portal platform itself. If you're using Purple, that means whitelisting the Purple CDN and API endpoints — things like cdn.purple.ai, portal.purple.ai, and api.purple.ai. If you're using a different platform, the principle is identical: whitelist every domain that serves the portal assets and handles the authentication handshake. Second: Google OAuth. This is the big one, because Google Sign-In is the most common social login method in enterprise guest WiFi deployments. You need to whitelist accounts.google.com, oauth2.googleapis.com, apis.google.com, and the gstatic.com CDN — that's where Google serves its fonts, icons, and client-side libraries. Miss any one of these and the Google login button will either fail silently or throw a CORS error that the guest never sees. Third: Facebook and Meta OAuth. If you're offering Facebook login — and in hospitality and retail, it remains popular because of the marketing data it provides — you need to whitelist www.facebook.com, graph.facebook.com, connect.facebook.net, and the Facebook CDN at static.xx.fbcdn.net. Meta has a habit of rotating CDN subdomains, so I'd recommend using wildcard entries where your controller supports them: *.fbcdn.net and *.facebook.com. Fourth: Apple Sign In. This became mandatory for any iOS application offering third-party login after 2019, and it's increasingly expected on web-based portals too. The key domains are appleid.apple.com and idmsa.apple.com. Apple also uses a range of subdomains under apple.com for its authentication flows, so a wildcard entry for *.apple.com is the pragmatic approach. Fifth: if you're running a paid WiFi tier — common in transport hubs, premium hotel properties, and conference centres — you need to whitelist your payment gateway. For Stripe, that's stripe.com and *.stripe.com. For PayPal, it's www.paypal.com and *.paypal.com. PCI DSS compliance requires that payment flows are handled over TLS 1.2 or higher, and your walled garden configuration needs to permit that traffic without interception. Now, here's where it gets technically interesting: the DNS resolution problem. Most network controllers implement walled gardens at the IP address level, not purely at the domain name level. That means when you whitelist accounts.google.com, the controller resolves that domain to a set of IP addresses and permits traffic to those IPs. The problem is that Google, Facebook, Apple, and the major CDNs use dynamic IP ranges and anycast routing. The IP address that accounts.google.com resolves to in your data centre is not necessarily the same IP it resolves to on your guest network, and it will change over time. The practical implication is this: you cannot rely on a static IP whitelist. You need a controller that performs dynamic DNS resolution for walled garden entries — resolving the whitelisted domains at regular intervals and updating the permitted IP set accordingly. Most enterprise-grade controllers support this. If yours doesn't, you're operating with a configuration that will degrade over time as CDN IP ranges shift. There's also the HTTPS interception question. When a guest device makes an HTTPS request to a non-whitelisted domain before authentication, your controller has two options: it can drop the connection silently, or it can attempt to intercept it and redirect to the portal. Silent drops cause the guest's browser to display a generic "site can't be reached" error, which is confusing. Interception requires a valid TLS certificate on your controller, and without it, the guest sees a certificate warning — which is both alarming and, in regulated environments, a potential compliance issue. The clean solution is to ensure your portal redirect logic operates on HTTP traffic, and that your walled garden permits the HTTPS traffic for whitelisted domains to pass through untouched. Let me also address the captive portal detection mechanism, because it directly affects your walled garden design. Modern operating systems — iOS, Android, macOS, Windows — use a technique called Captive Network Assistant, or CNA. When a device connects to a new network, the OS makes an HTTP request to a known probe endpoint: on Apple devices, that's captive.apple.com; on Android, it's connectivitycheck.gstatic.com; on Windows, it's msftconnecttest.com. If the response is not what the OS expects, it knows it's behind a captive portal and launches the portal browser automatically. The critical point: all of these probe endpoints must be whitelisted in your walled garden. If they're blocked, the OS never detects the captive portal, the guest never sees the splash page, and from their perspective the WiFi simply doesn't work. This is one of the most common misconfiguration failures I see in the field, and it's entirely avoidable. --- [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS — 2 MINUTES] Let me give you the implementation framework I'd recommend for any new deployment. Start with a baseline whitelist that covers five categories: your portal platform, Google OAuth, Facebook OAuth, Apple Sign In, and OS captive portal probes. That's your minimum viable walled garden. Add payment gateways if you're running paid tiers. Add your analytics and marketing platform domains if your portal loads tracking scripts. Test your walled garden before go-live using a device in an unauthenticated state — not a test account, an actual fresh device that has never connected to this network. Walk through every login method you're offering. If any login method fails, capture the browser console output and network traffic to identify which domain is being blocked. Implement a quarterly review process. OAuth providers and CDNs change their domain structures. Apple updated its Sign In domains twice in 2023. Google periodically adds new subdomains to its OAuth flow. A walled garden that was correct at deployment will drift out of alignment without active maintenance. The pitfalls to avoid: first, over-whitelisting. I've seen deployments where the IT team, frustrated by intermittent failures, simply whitelisted entire IP ranges or added wildcard entries that effectively bypassed the walled garden entirely. That defeats the purpose and creates a compliance risk. Be precise. Second, ignoring IPv6. If your network supports IPv6 — and increasingly it should — your walled garden rules need to cover IPv6 address ranges as well as IPv4. Third, not accounting for mobile app deep links. Some social login flows, particularly on iOS, attempt to open the native app rather than a web browser. This can break the OAuth flow entirely. Ensure your portal configuration forces web-based OAuth rather than app-based flows. --- [RAPID-FIRE Q&A — 1 MINUTE] Let me run through a few questions I hear regularly. "Do I need to whitelist the entire Google IP range?" No. Whitelist specific domains and use dynamic DNS resolution. Whitelisting entire ASNs is a security risk. "Can I use the same walled garden config across all my sites?" In principle, yes — if your portal platform and social login providers are consistent. But test at each site, because local DNS resolvers can behave differently. "How does GDPR affect walled garden configuration?" GDPR doesn't directly govern walled garden domains, but it does govern what data your portal collects during authentication. Ensure your social login OAuth scopes request only the minimum necessary data — typically name and email — and that your privacy notice is accessible from within the walled garden before the guest authenticates. "What's the right TTL for DNS entries in the walled garden?" Most controllers default to 60 seconds. For high-availability deployments, I'd recommend no lower than 30 seconds to avoid excessive DNS query load. --- [SUMMARY AND NEXT STEPS — 1 MINUTE] To summarise: a walled garden is the controlled pre-authentication zone in your guest WiFi deployment. Getting it right means whitelisting your portal platform, all social OAuth providers you're using, OS captive portal probe endpoints, and any payment or analytics services your portal depends on. Use dynamic DNS resolution, not static IP lists. Test with real unauthenticated devices before go-live. And build a quarterly review process into your operational calendar. If you're deploying or reviewing a guest WiFi estate and want to validate your current walled garden configuration, Purple's platform includes built-in walled garden management with pre-configured domain sets for all major social login providers. It's one of those things that's genuinely easier to get right with the right tooling behind you. Thanks for listening. The full technical reference guide for this topic — including architecture diagrams, domain whitelists, and worked implementation scenarios — is available in the Purple knowledge base. Until next time. --- [END OF SCRIPT]

এক্সিকিউটিভ সামারি

একটি নিরাপদ এবং ব্যবহারকারীবান্ধব গেস্ট WiFi ডিপ্লয়মেন্টের একটি মৌলিক উপাদান হলো ওয়াল্ড গার্ডেন। এটি নেটওয়ার্ক রিসোর্সের সেই সীমিত সেটকে সংজ্ঞায়িত করে, যা একটি Captive Portal-এর মাধ্যমে অথেনটিকেশন সম্পন্ন করার আগে কোনো গেস্ট ডিভাইস অ্যাক্সেস করতে পারে। এন্টারপ্রাইজ ডিপ্লয়মেন্টগুলোতে গেস্ট লগইন ব্যর্থ হওয়ার প্রধান কারণ হলো ভুল বা অসম্পূর্ণ ওয়াল্ড গার্ডেন কনফিগারেশন — যার ফলে ব্যবহারকারীর অভিজ্ঞতা খারাপ হয়, হেল্পডেস্ক টিকিটের সংখ্যা বৃদ্ধি পায় এবং হসপিটালিটি ও রিটেইল পরিবেশে সুনামের উল্লেখযোগ্য ক্ষতি হয়। আইটি ম্যানেজার এবং নেটওয়ার্ক আর্কিটেক্টদের জন্য, ওয়াল্ড গার্ডেন WiFi কনফিগারেশনে দক্ষতা অর্জন করা কেবল একটি প্রযুক্তিগত কাজ নয়; এটি নিরাপত্তা ঝুঁকি কমানো, PCI DSS v4.0 এবং GDPR-এর মতো স্ট্যান্ডার্ডগুলোর সাথে কমপ্লায়েন্স নিশ্চিত করা এবং গেস্ট WiFi এস্টেটের রিটার্ন অন ইনভেস্টমেন্ট (ROI) সর্বাধিক করার একটি গুরুত্বপূর্ণ পদক্ষেপ। এই গাইডটি হসপিটালিটি, রিটেইল, ইভেন্ট এবং পাবলিক সেক্টর সংস্থাগুলো সহ এন্টারপ্রাইজ পরিবেশে একটি শক্তিশালী ওয়াল্ড গার্ডেন ডিজাইন, বাস্তবায়ন এবং রক্ষণাবেক্ষণের জন্য একটি ভেন্ডর-নিরপেক্ষ, কার্যকর ফ্রেমওয়ার্ক প্রদান করে, যা আধুনিক অথেনটিকেশন পদ্ধতিগুলোকে সমর্থন করে — যার মধ্যে রয়েছে OAuth 2.0-এর মাধ্যমে সোশ্যাল লগইন, পেমেন্ট গেটওয়ে এবং OS-স্তরের Captive Portal ডিটেকশন।

header_image.png

টেকনিক্যাল ডিপ-ডাইভ

প্রি-অথেনটিকেশন অ্যাক্সেসের অ্যানাটমি

একটি সাধারণ গেস্ট WiFi আর্কিটেকচারে, যখন কোনো ব্যবহারকারীর ডিভাইস একটি ওপেন SSID-এর সাথে যুক্ত হয়, তখন এটিকে DHCP-এর মাধ্যমে একটি IP অ্যাড্রেস দেওয়া হয় এবং নেটওয়ার্ক কন্ট্রোলার দ্বারা একটি প্রি-অথেনটিকেশন রোল বা আইসোলেটেড VLAN-এ রাখা হয়। এই অবস্থায়, কন্ট্রোলার সমস্ত আউটবাউন্ড HTTP এবং HTTPS ট্র্যাফিক ইন্টারসেপ্ট করে এবং সেগুলোকে Captive Portal স্প্ল্যাশ পেজে রিডাইরেক্ট করে। এই মেকানিজমটিই গেস্টের ব্রাউজারকে লগইন স্ক্রিনে যেতে বাধ্য করে। ওয়াল্ড গার্ডেন হলো এই ইন্টারসেপশন নিয়মের একটি সুস্পষ্ট ব্যতিক্রম: এটি এক্সটার্নাল ডোমেইন এবং IP অ্যাড্রেস রেঞ্জের একটি কিউরেটেড হোয়াইটলিস্ট, যার সাথে ডিভাইসটি প্রি-অথেনটিকেশন পর্যায়ে স্বাধীনভাবে যোগাযোগ করার অনুমতি পায়।

সঠিকভাবে কনফিগার করা ওয়াল্ড গার্ডেন ছাড়া, অথেনটিকেশন সম্পন্ন করার জন্য প্রয়োজনীয় পরিষেবাগুলোই ব্লক হয়ে যায়। আধুনিক Captive Portal-গুলো মনোলিথিক বা স্বয়ংসম্পূর্ণ অ্যাপ্লিকেশন নয়। এগুলো মাইক্রোসার্ভিস এবং থার্ড-পার্টি API-এর সমন্বয়ে গঠিত। পোর্টালের নিজস্ব অ্যাসেটগুলো — HTML, CSS, JavaScript এবং ছবি — একটি কনটেন্ট ডেলিভারি নেটওয়ার্ক (CDN) থেকে পরিবেশন করা হতে পারে, যা কন্ট্রোলারের লোকাল ইনফ্রাস্ট্রাকচার থেকে সম্পূর্ণ আলাদা। সোশ্যাল লগইন কার্যকারিতা Google, Facebook, Apple বা Microsoft-এর OAuth 2.0 এন্ডপয়েন্টগুলোতে পৌঁছানোর ওপর নির্ভর করে। যদি কোনো পেইড WiFi টিয়ার অফার করা হয়, তবে পোর্টালটিকে অবশ্যই Stripe বা PayPal-এর মতো কোনো পেমেন্ট প্রসেসরের সাথে যোগাযোগ করতে হবে। অ্যানালিটিক্স এবং মার্কেটিং প্ল্যাটফর্মগুলো তাদের নিজস্ব CDN অরিজিন থেকে ট্র্যাকিং স্ক্রিপ্ট লোড করতে পারে। এই নির্ভরতাগুলোর প্রতিটি এমন একটি ডোমেইনকে উপস্থাপন করে, যেটিকে অবশ্যই ওয়াল্ড গার্ডেনে স্পষ্টভাবে অনুমতি দিতে হবে, অন্যথায় অথেনটিকেশন ফ্লো নীরবে বা কোনো বিভ্রান্তিকর ত্রুটির সাথে ব্যর্থ হবে।

walled_garden_architecture.png

DNS রেজোলিউশন সমস্যা

ওয়াল্ড গার্ডেন কনফিগারেশনের সবচেয়ে প্রযুক্তিগতভাবে সূক্ষ্ম দিকটি হলো ডোমেইন-ভিত্তিক অ্যাডমিনিস্ট্রেশন এবং IP-ভিত্তিক এনফোর্সমেন্টের মধ্যে ব্যবধান। যদিও নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা মানুষের পড়ার যোগ্য ডোমেইন নাম (যেমন, accounts.google.com) ব্যবহার করে ওয়াল্ড গার্ডেন কনফিগার করেন, তবে বেশিরভাগ নেটওয়ার্ক কন্ট্রোলার এই নিয়মগুলো IP লেয়ারে প্রয়োগ করে। যখন কোনো ডোমেইন হোয়াইটলিস্টে যোগ করা হয়, তখন কন্ট্রোলার সেটিকে এক বা একাধিক IP অ্যাড্রেসে রিসলভ করার জন্য একটি DNS লুকআপ সম্পাদন করে এবং সেই IP-গুলোকে একটি অস্থায়ী অ্যাক্সেস কন্ট্রোল লিস্টে (ACL) যুক্ত করে।

এটি প্রধান ক্লাউড প্রোভাইডারদের ক্ষেত্রে একটি উল্লেখযোগ্য অপারেশনাল ঝুঁকি তৈরি করে। Google, Meta, Apple এবং শীর্ষস্থানীয় CDN-গুলো অ্যানিকাস্ট রাউটিং এবং ডায়নামিক IP অ্যাড্রেস অ্যাসাইনমেন্ট ব্যবহার করে। কনফিগারেশনের সময় accounts.google.com যে IP অ্যাড্রেসে রিসলভ হয়, তা ছয় মাস পরে বা এমনকি ভিন্ন কোনো নেটওয়ার্ক সেগমেন্টে রিসলভ হওয়া অ্যাড্রেস থেকে সম্পূর্ণ আলাদা হতে পারে। তাই একটি স্ট্যাটিক IP হোয়াইটলিস্ট কোনো টেকসই কনফিগারেশন নয়; CDN IP রেঞ্জ রোটেট হওয়ার সাথে সাথে এটি সময়ের সাথে অকার্যকর হয়ে পড়বে।

এর সঠিক সমাধান হলো ডায়নামিক DNS রেজোলিউশন, যেখানে নেটওয়ার্ক কন্ট্রোলার পর্যায়ক্রমে প্রতিটি হোয়াইটলিস্টেড ডোমেইন পুনরায় রিসলভ করে এবং সেই অনুযায়ী এর ACL-গুলো আপডেট করে। Cisco, Aruba, Ruckus এবং Fortinet-এর বেশিরভাগ এন্টারপ্রাইজ-গ্রেড কন্ট্রোলার এটি নেটিভভাবে সাপোর্ট করে। যদি আপনার কন্ট্রোলার এটি না করে, তবে আপনি এমন একটি কনফিগারেশন নিয়ে কাজ করছেন যা মাঝে মাঝে ব্যর্থতা তৈরি করবে, যা ডায়াগনোজ করা কঠিন এবং সময়ের সাথে সাথে আরও খারাপ হবে।

HTTPS ইন্টারসেপশন এবং TLS কমপ্লায়েন্স

HTTPS-এর প্রসারের কারণে জটিলতার আরও একটি স্তর তৈরি হয়। যখন প্রি-অথেনটিকেশন অবস্থায় থাকা কোনো গেস্ট ডিভাইস একটি নন-হোয়াইটলিস্টেড HTTPS রিসোর্স লোড করার চেষ্টা করে, তখন কন্ট্রোলারকে সিদ্ধান্ত নিতে হয় যে সে কীভাবে রিকোয়েস্টটি হ্যান্ডেল করবে। এর দুটি সাধারণ পদ্ধতি রয়েছে, সঠিকভাবে পরিচালিত না হলে উভয়েরই উল্লেখযোগ্য ত্রুটি রয়েছে।

প্রথম পদ্ধতিটি হলো সাইলেন্ট ড্রপ, যেখানে কন্ট্রোলার কেবল কানেকশনটি ব্লক করে দেয়। গেস্টের ব্রাউজার একটি সাধারণ "site can't be reached" এরর দেখায়, যা কোনো দরকারী নির্দেশনা প্রদান করে না এবং প্রায়শই পোর্টাল প্রম্পটের পরিবর্তে নেটওয়ার্ক ফল্ট হিসেবে ব্যাখ্যা করা হয়। দ্বিতীয় পদ্ধতিটি হলো HTTPS ইন্টারসেপশন, যেখানে কন্ট্রোলার Captive Portal-এ একটি রিডাইরেক্ট উপস্থাপন করার চেষ্টা করে। এর জন্য কন্ট্রোলারকে একটি ম্যান-ইন-দ্য-মিডল (MITM) প্রক্সি হিসেবে কাজ করতে হয়, যা তার নিজস্ব TLS সার্টিফিকেট উপস্থাপন করে। যদি এই সার্টিফিকেটটি গেস্টের ডিভাইসের কাছে বিশ্বস্ত না হয় — যা পাবলিক গেস্ট নেটওয়ার্কে প্রায় কখনোই হয় না — তবে ব্রাউজার একটি সিকিউরিটি ওয়ার্নিং দেখাবে, যা ব্যবহারকারীদের জন্য উদ্বেগজনক এবং নিয়ন্ত্রিত পরিবেশে এটি একটি কমপ্লায়েন্স সমস্যা তৈরি করতে পারে।

সঠিক আর্কিটেকচারাল পদ্ধতি হলো অথেনটিকেশন ফ্লো-এর জন্য প্রয়োজনীয় সমস্ত ডোমেইন হোয়াইটলিস্ট করা হয়েছে তা নিশ্চিত করা, যাতে তাদের HTTPS ট্র্যাফিক কোনো বাধা ছাড়াই পাস করতে পারে। Captive Portal রিডাইরেক্টটি HTTPS ইন্টারসেপশনের পরিবর্তে OS-স্তরের প্রোব মেকানিজম দ্বারা ট্রিগার হওয়া উচিত। এটি সার্টিফিকেটের ট্রাস্ট সমস্যাটি পুরোপুরি দূর করে। আধুনিক ব্রাউজারগুলো HTTP Strict Transport Security (HSTS) এবং কিছু ক্ষেত্রে সার্টিফিকেট পিনিংও প্রয়োগ করে। উভয় মেকানিজমই প্রধান ডোমেইনগুলোর জন্য HTTPS ইন্টারসেপশনকে সরাসরি ব্যর্থ করবে, যার ফলে রিডাইরেক্টের পরিবর্তে একটি ব্রোকেন কানেকশন তৈরি হবে — যা একটি বিস্তৃত HTTPS ইন্টারসেপশন পলিসির চেয়ে সঠিকভাবে কনফিগার করা ওয়াল্ড গার্ডেনের পক্ষে আরেকটি জোরালো যুক্তি।

ক্যাপটিভ নেটওয়ার্ক অ্যাসিস্ট্যান্ট (CNA) এবং OS প্রোব ডোমেইন

ওয়াল্ড গার্ডেন কনফিগারেশনের সবচেয়ে বেশি উপেক্ষিত দিকগুলোর মধ্যে একটি হলো সেই মেকানিজম, যার মাধ্যমে আধুনিক অপারেটিং সিস্টেমগুলো একটি Captive Portal-এর উপস্থিতি শনাক্ত করে। সমস্ত প্রধান অপারেটিং সিস্টেম — iOS, iPadOS, macOS, Android এবং Windows — একটি ক্যাপটিভ নেটওয়ার্ক অ্যাসিস্ট্যান্ট (CNA) প্রয়োগ করে, যা একটি নতুন WiFi নেটওয়ার্কে কানেক্ট হওয়ার পরপরই একটি পরিচিত HTTP এন্ডপয়েন্ট প্রোব করে। যদি রেসপন্সটি প্রত্যাশিত মান থেকে বিচ্যুত হয়, তবে OS অনুমান করে যে এটি একটি Captive Portal-এর পিছনে রয়েছে এবং লগইন হ্যান্ডেল করার জন্য স্বয়ংক্রিয়ভাবে একটি ব্রাউজার উইন্ডো চালু করে।

প্রতিটি প্ল্যাটফর্ম দ্বারা ব্যবহৃত প্রোব এন্ডপয়েন্টগুলো নিচে দেওয়া হলো:

অপারেটিং সিস্টেম প্রোব ডোমেইন প্রত্যাশিত রেসপন্স
Apple (iOS, macOS) captive.apple.com নির্দিষ্ট বডি সহ HTTP 200
Android (Google) connectivitycheck.gstatic.com HTTP 204 নো কনটেন্ট
Windows www.msftconnecttest.com নির্দিষ্ট বডি সহ HTTP 200
Firefox / Mozilla detectportal.firefox.com নির্দিষ্ট বডি সহ HTTP 200

যদি এই প্রোব ডোমেইনগুলোর কোনোটি ওয়াল্ড গার্ডেন দ্বারা ব্লক করা থাকে, তবে OS কখনোই Captive Portal শনাক্ত করতে পারবে না। গেস্টের দৃষ্টিকোণ থেকে, WiFi নেটওয়ার্কে কোনো ইন্টারনেট অ্যাক্সেস নেই বলে মনে হবে। এটি প্রোডাকশন ডিপ্লয়মেন্টগুলোতে পরিলক্ষিত সবচেয়ে সাধারণ মিসকনফিগারেশন ব্যর্থতাগুলোর মধ্যে একটি এবং বেসলাইন হোয়াইটলিস্টে এই ডোমেইনগুলোকে অন্তর্ভুক্ত করার মাধ্যমে এটি সম্পূর্ণরূপে প্রতিরোধযোগ্য।

ইমপ্লিমেন্টেশন গাইড

ধাপ ১: বেসলাইন ডোমেইন ডিসকভারি

আপনার কন্ট্রোলার কনফিগারেশনে হাত দেওয়ার আগে, আপনার Captive Portal যে সমস্ত এক্সটার্নাল সার্ভিসের ওপর নির্ভর করে তার প্রতিটির একটি পুঙ্খানুপুঙ্খ অডিট পরিচালনা করুন। এটি করার সর্বোত্তম উপায় হলো ডেভেলপার টুলস খোলা রেখে একটি ব্রাউজারে পোর্টালটি লোড করা এবং সমস্ত এক্সটার্নাল রিসোর্স রিকোয়েস্ট শনাক্ত করতে নেটওয়ার্ক ট্যাবটি পরিদর্শন করা। প্রাপ্ত তালিকাটি নিম্নরূপ শ্রেণীবদ্ধ করা উচিত:

ক্যাটাগরি উদ্দেশ্য প্রয়োজনীয় ডোমেইন
Captive Portal প্ল্যাটফর্ম স্প্ল্যাশ পেজ অ্যাসেট পরিবেশন করে এবং অথেনটিকেশন লজিক হ্যান্ডেল করে। *.purple.ai, cdn.your-vendor.com
Google OAuth Google সাইন-ইন সক্ষম করে। accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
Facebook / Meta OAuth Facebook লগইন সক্ষম করে। www.facebook.com, graph.facebook.com, connect.facebook.net, *.fbcdn.net
Apple Sign In Apple-এর মাধ্যমে সাইন ইন সক্ষম করে। appleid.apple.com, idmsa.apple.com, *.apple.com
OS Captive Portal প্রোব স্বয়ংক্রিয় পোর্টাল ডিটেকশন সক্ষম করে। captive.apple.com, connectivitycheck.gstatic.com, www.msftconnecttest.com
পেমেন্ট গেটওয়ে প্রিমিয়াম টিয়ারের জন্য পেমেন্ট প্রসেস করে। *.stripe.com, *.paypal.com
অ্যানালিটিক্স / মার্কেটিং ট্র্যাকিং এবং অ্যানালিটিক্স স্ক্রিপ্ট লোড করে। ভেন্ডর-নির্দিষ্ট (যেমন, *.segment.com, *.mixpanel.com)

domain_whitelist_infographic.png

ধাপ ২: কন্ট্রোলার কনফিগারেশন

ভেন্ডর অনুযায়ী ইমপ্লিমেন্টেশন ভিন্ন হতে পারে, তবে অন্তর্নিহিত নীতিগুলো সর্বজনীন। আপনার নেটওয়ার্ক কন্ট্রোলারের ম্যানেজমেন্ট ইন্টারফেসে Captive Portal বা স্প্ল্যাশ পেজ কনফিগারেশনে নেভিগেট করুন — Cisco Meraki-তে এটি Wireless > Configure > Splash Page-এর অধীনে পাওয়া যায়; Aruba Central-এ এটি হলো Captive Portal Profile; Fortinet-এ এটি Security Policies > Captive Portal-এর মধ্যে থাকে। প্রি-অথেনটিকেশন অ্যাক্সেস বা ওয়াল্ড গার্ডেন হোয়াইটলিস্ট সেকশনটি খুঁজুন এবং নিম্নরূপ এগিয়ে যান:

  1. ক্যাটাগরি অনুযায়ী ডোমেইন লিখুন: প্রতিটি ক্যাটাগরিতে কাজ করে আপনার অডিট থেকে প্রতিটি ডোমেইন পদ্ধতিগতভাবে যোগ করুন। যেখানে আপনার কন্ট্রোলার সাপোর্ট করে এবং যেখানে রিস্ক প্রোফাইল গ্রহণযোগ্য, সেখানে ওয়াইল্ডকার্ড (*.gstatic.com) ব্যবহার করুন। উচ্চ-নিরাপত্তা পরিবেশের জন্য, বিস্তৃত ওয়াইল্ডকার্ডের চেয়ে নির্দিষ্ট সাবডোমেইনগুলোকে অগ্রাধিকার দিন।
  2. ডায়নামিক DNS রেজোলিউশন সক্ষম করুন: নিশ্চিত করুন যে আপনার কন্ট্রোলার একটি স্ট্যাটিক IP লিস্ট ক্যাশ করার পরিবর্তে পর্যায়ক্রমে হোয়াইটলিস্টেড ডোমেইনগুলোকে পুনরায় রিসলভ করার জন্য কনফিগার করা হয়েছে। এটি সক্রিয় আছে কিনা তা যাচাই করতে আপনার ভেন্ডরের ডকুমেন্টেশন দেখুন। ওয়াল্ড গার্ডেন এন্ট্রির জন্য ৬০ সেকেন্ড বা তার কম DNS TTL সেট করুন।
  3. ডুয়াল-স্ট্যাক রুলস কনফিগার করুন: যদি আপনার নেটওয়ার্ক IPv6 সাপোর্ট করে — এবং IPv4 অ্যাড্রেস স্পেস শেষ হয়ে যাওয়ার কারণে এটি করা উচিত — তবে নিশ্চিত করুন যে আপনার ওয়াল্ড গার্ডেন ACL-গুলো IPv4 এবং IPv6 উভয় ট্র্যাফিকের ক্ষেত্রেই প্রযোজ্য। একটি IPv6 অ্যাড্রেস যুক্ত গেস্ট ডিভাইস শুধুমাত্র IPv4-এর জন্য থাকা ACL-গুলোকে বাইপাস করবে।
  4. গেস্ট SSID-এ প্রয়োগ করুন: Captive Portal প্রোফাইল এবং এর ওয়াল্ড গার্ডেন শুধুমাত্র গেস্ট SSID-এর সাথে যুক্ত করুন। কর্পোরেট SSID-গুলোতে কখনোই গেস্ট-স্তরের ওয়াল্ড গার্ডেন পলিসি প্রয়োগ করবেন না।

network_engineer_config.png

ধাপ ৩: প্রি-গো-লাইভ টেস্টিং প্রোটোকল

টেস্টিং করা বাধ্যতামূলক এবং এটি অবশ্যই একটি প্রকৃত প্রি-অথেনটিকেশন অবস্থায় থাকা রিয়েল ডিভাইসগুলোর সাথে পরিচালনা করতে হবে — এমন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট দিয়ে নয় যেগুলোর এলিভেটেড অ্যাক্সেস থাকতে পারে, এবং এমন ডিভাইস দিয়েও নয় যেগুলো আগে নেটওয়ার্কে কানেক্ট হয়েছে এবং সেগুলোতে ক্যাশ করা ক্রেডেনশিয়াল থাকতে পারে।

প্রতিটি ডিভাইস প্ল্যাটফর্মের (iOS, Android, Windows, macOS) জন্য, নিম্নলিখিত কাজগুলো সম্পাদন করুন:

  1. কোনো ক্যাশ করা স্টেট নেই তা নিশ্চিত করতে টেস্ট ডিভাইসে নেটওয়ার্কটি ফরগেট (Forget) করুন
  2. গেস্ট SSID-এ কানেক্ট করুন এবং পর্যবেক্ষণ করুন যে CNA মেকানিজমের মাধ্যমে Captive Portal স্বয়ংক্রিয়ভাবে চালু হয় কিনা।
  3. পোর্টালে অফার করা প্রতিটি লগইন পদ্ধতির চেষ্টা করুন — ইমেইল রেজিস্ট্রেশন, Google সাইন-ইন, Facebook লগইন, Apple সাইন ইন — এবং নিশ্চিত করুন যে প্রতিটি সফলভাবে সম্পন্ন হয়।
  4. যদি কোনো পেইড টিয়ার অফার করা হয়, তবে আপনার পেমেন্ট গেটওয়ের স্যান্ডবক্স পরিবেশ থেকে একটি টেস্ট কার্ড নম্বর ব্যবহার করে পেমেন্ট ফ্লো পরীক্ষা করুন
  5. কোনো টেস্ট ব্যর্থ হলে ব্রাউজার কনসোল পরিদর্শন করুন। নেটওয়ার্ক ট্যাবটি ঠিক কোন ডোমেইনটি ব্লক করা হচ্ছে তা শনাক্ত করবে, যা আপনাকে নির্ভুলতার সাথে সেটিকে হোয়াইটলিস্টে যোগ করতে সাহায্য করবে।

কমপ্লায়েন্সের উদ্দেশ্যে সংরক্ষিত একটি কনফিগারেশন রেকর্ডে এই টেস্টিং প্রোটোকলের ফলাফলগুলো ডকুমেন্ট করুন。

বেস্ট প্র্যাকটিস

প্রিন্সিপাল অফ লিস্ট প্রিভিলেজ (Principle of Least Privilege) হলো ওয়াল্ড গার্ডেন কনফিগারেশনের মূল নিয়ম। শুধুমাত্র সেই ডোমেইনগুলোকে হোয়াইটলিস্ট করুন যেগুলো অথেনটিকেশন ফ্লো কাজ করার জন্য স্পষ্টভাবে প্রয়োজনীয়। আপনার কন্ট্রোলারের ইমপ্লিমেন্টেশনের জন্য প্রয়োজন না হলে *.google.com বা *.facebook.com-এর মতো বিস্তৃত ওয়াইল্ডকার্ডগুলো এড়িয়ে চলুন; নির্দিষ্ট সাবডোমেইনগুলোকে অগ্রাধিকার দিন। প্রতিটি অতিরিক্ত হোয়াইটলিস্টেড ডোমেইন প্রি-অথেনটিকেশন জোনে একটি সম্ভাব্য অ্যাটাক সারফেসকে উপস্থাপন করে।

সময়ের সাথে সাথে একটি কার্যকরী ওয়াল্ড গার্ডেন বজায় রাখার জন্য ত্রৈমাসিক রিভিউ ক্যাডেন্স অপরিহার্য। সোশ্যাল লগইন প্রোভাইডার এবং CDN-গুলো নিয়মিত তাদের ইনফ্রাস্ট্রাকচার আপডেট করে। Apple ২০২৩ সালে তাদের সাইন ইন ডোমেইন স্ট্রাকচার পরিবর্তন করেছে। Google একাধিকবার তাদের OAuth ফ্লো-তে নতুন সাবডোমেইন যোগ করেছে। ডিপ্লয়মেন্টের সময় নির্ভুল থাকা একটি ওয়াল্ড গার্ডেন সক্রিয় রক্ষণাবেক্ষণ ছাড়া কয়েক মাসের মধ্যেই অকার্যকর হয়ে পড়বে। প্রতিটি প্রোভাইডারের বর্তমান ডকুমেন্টেশনের সাথে আপনার হোয়াইটলিস্ট ক্রস-রেফারেন্স করে আপনার অপারেশনাল ক্যালেন্ডারে একটি ত্রৈমাসিক রিভিউ অন্তর্ভুক্ত করুন।

কমপ্লায়েন্স অ্যালাইনমেন্ট-এর জন্য এটি প্রয়োজন যে আপনার ওয়াল্ড গার্ডেন কনফিগারেশন যেন অসাবধানতাবশত প্রযোজ্য স্ট্যান্ডার্ডগুলোর প্রয়োজনীয়তা লঙ্ঘন না করে। PCI DSS v4.0-এর অধীনে, কার্ডহোল্ডার ডেটা প্রসেস, স্টোর বা ট্রান্সমিট করে এমন যেকোনো নেটওয়ার্ককে অবশ্যই কঠোর অ্যাক্সেস কন্ট্রোল বজায় রাখতে হবে। যদি আপনার গেস্ট WiFi-এ কোনো পেইড টিয়ার অন্তর্ভুক্ত থাকে, তবে ওয়াল্ড গার্ডেনকে অবশ্যই কোনো ইন্টারসেপশন ছাড়াই আপনার পেমেন্ট প্রসেসরের সাথে TLS 1.2 বা উচ্চতর কানেকশনের অনুমতি দিতে হবে। GDPR-এর অধীনে, গেস্টরা কোনো ব্যক্তিগত ডেটা প্রদান করার আগে প্রাইভেসি নোটিশটি তাদের কাছে অ্যাক্সেসযোগ্য হতে হবে — যার অর্থ হলো আপনার প্রাইভেসি পলিসির লিংকটি অথেনটিকেশনের আগেও ওয়াল্ড গার্ডেনের ভেতর থেকে অ্যাক্সেসযোগ্য হতে হবে।

যেকোনো প্রোডাকশন নেটওয়ার্ক পরিবর্তনের জন্য চেঞ্জ ম্যানেজমেন্ট ডকুমেন্টেশন একটি পেশাদার বাধ্যবাধকতা। ওয়াল্ড গার্ডেনে প্রতিটি পরিবর্তন — তা নতুন ডোমেইন যোগ করা হোক, কোনো বাতিল ডোমেইন মুছে ফেলা হোক বা কোনো ওয়াইল্ডকার্ড আপডেট করা হোক — একটি টাইমস্ট্যাম্প, পরিবর্তনের কারণ এবং দায়িত্বপ্রাপ্ত ইঞ্জিনিয়ারের নাম সহ লগ করা উচিত। এই অডিট ট্রেইলটি মাঝে মাঝে হওয়া ব্যর্থতাগুলোর ট্রাবলশুটিং এবং কমপ্লায়েন্স অডিটে যথাযথ সতর্কতা প্রদর্শনের জন্য অমূল্য।

ট্রাবলশুটিং এবং রিস্ক মিটিগেশন

নিচের টেবিলটি সবচেয়ে সাধারণ ফেইলিওর মোডগুলোকে তাদের মূল কারণ এবং প্রস্তাবিত মিটিগেশনের সাথে ম্যাপ করে:

লক্ষণ মূল কারণ মিটিগেশন
iOS/Android-এ পোর্টাল স্বয়ংক্রিয়ভাবে চালু হয় না OS Captive Portal প্রোব ডোমেইনগুলো ব্লক করা আছে। ওয়াল্ড গার্ডেনে captive.apple.com এবং connectivitycheck.gstatic.com যোগ করুন।
Google সাইন-ইন বোতাম কাজ করছে না এক বা একাধিক Google OAuth বা CDN ডোমেইন অনুপস্থিত। accounts.google.com, oauth2.googleapis.com, apis.google.com এবং *.gstatic.com যোগ করুন।
CORS এরর সহ Facebook লগইন ব্যর্থ হয় Facebook CDN সাবডোমেইনগুলো (*.fbcdn.net) হোয়াইটলিস্ট করা নেই। *.fbcdn.net এবং *.facebook.com-এর জন্য ওয়াইল্ডকার্ড এন্ট্রি যোগ করুন।
লগইন প্রথমে কাজ করে কিন্তু মাঝে মাঝে ব্যর্থ হয় স্ট্যাটিক IP হোয়াইটলিস্ট; CDN IP অ্যাড্রেসগুলো রোটেট হয়েছে। কন্ট্রোলারে ডায়নামিক DNS রেজোলিউশন সক্ষম করুন।
গেস্টরা TLS সার্টিফিকেট ওয়ার্নিং দেখতে পায় কন্ট্রোলার নন-হোয়াইটলিস্টেড ডোমেইনগুলোতে HTTPS ট্র্যাফিক ইন্টারসেপ্ট করছে। সমস্ত প্রয়োজনীয় ডোমেইন হোয়াইটলিস্ট করুন যাতে HTTPS কোনো বাধা ছাড়াই পাস করতে পারে।
পেমেন্ট পেজ লোড হতে ব্যর্থ হয় পেমেন্ট গেটওয়ে CDN বা API ডোমেইনগুলো হোয়াইটলিস্ট করা নেই। প্রয়োজন অনুযায়ী *.stripe.com বা *.paypal.com যোগ করুন।
IPv6 ব্যবহারকারীরা পোর্টাল অ্যাক্সেস করতে পারে না ওয়াল্ড গার্ডেন ACL-গুলো শুধুমাত্র IPv4-এর জন্য। IPv6 অ্যাড্রেস রেঞ্জ কভার করার জন্য সমস্ত ওয়াল্ড গার্ডেন রুলস প্রসারিত করুন।

রিস্ক মিটিগেশন: ওভার-হোয়াইটলিস্টিং একটি বাস্তব এবং অবমূল্যায়িত ঝুঁকি। যখন মাঝে মাঝে ব্যর্থতা দেখা দেয়, তখন একটি লোভনীয় প্রতিক্রিয়া হলো সমস্যাটি দূর না হওয়া পর্যন্ত ক্রমান্বয়ে আরও বিস্তৃত ওয়াইল্ডকার্ড এন্ট্রি যোগ করা। এই পদ্ধতির ফলে এমন একটি ওয়াল্ড গার্ডেন তৈরি হতে পারে যা কার্যকরভাবে ওপেন থাকে, যা আনঅথেনটিকেটেড গেস্টদের লগইন ফ্লো সম্পন্ন না করেই ইন্টারনেটের বড় অংশ অ্যাক্সেস করার অনুমতি দেয়। এটি Captive Portal-এর উদ্দেশ্যকে ব্যাহত করে, মার্কেটিংয়ের উদ্দেশ্যে ডেটা সংগ্রহকে দুর্বল করে এবং গেস্টরা যদি শর্তাবলীতে সম্মতি না দিয়েই নেটওয়ার্ক অ্যাক্সেস করতে পারে তবে এটি GDPR-এর অধীনে দায়বদ্ধতা তৈরি করতে পারে। এন্ট্রি যোগ করার আগে সর্বদা নির্দিষ্ট ব্লক করা ডোমেইনটি ডায়াগনোজ করুন।

ROI এবং বিজনেস ইমপ্যাক্ট

একটি সঠিকভাবে বাস্তবায়িত ওয়াল্ড গার্ডেন একাধিক মাত্রায় পরিমাপযোগ্য ব্যবসায়িক ভ্যালু প্রদান করে। হসপিটালিটি সেক্টরে, একটি নিরবচ্ছিন্ন গেস্ট WiFi লগইন অভিজ্ঞতা সরাসরি গেস্ট স্যাটিসফ্যাকশন স্কোরের সাথে সম্পর্কিত। J.D. Power-এর গবেষণা ধারাবাহিকভাবে WiFi পারফরম্যান্সকে হোটেল গেস্ট স্যাটিসফ্যাকশনের অন্যতম প্রধান চালিকাশক্তি হিসেবে চিহ্নিত করে। ওয়াল্ড গার্ডেন মিসকনফিগার হওয়ার কারণে যে পোর্টালটি লোড হতে ব্যর্থ হয় — তা একটি নেতিবাচক প্রথম ইমপ্রেশন তৈরি করে যা পুরো থাকার অভিজ্ঞতাকে প্রভাবিত করে।

রিটেইল অপারেটরদের জন্য, ওয়াল্ড গার্ডেন হলো লয়্যালটি প্রোগ্রামের গেটওয়ে। Captive Portal-এর মাধ্যমে সফলভাবে লগইন করা প্রতিটি গেস্ট একটি ভেরিফায়েড আইডেন্টিটি প্রদান করে যা তাদের কেনাকাটার আচরণের সাথে যুক্ত করা যেতে পারে, যা বেনামী বিজ্ঞাপনের চেয়ে স্পষ্টতই উচ্চতর কনভার্সন রেট সহ পার্সোনালাইজড মার্কেটিং ক্যাম্পেইন সক্ষম করে। একটি মিসকনফিগার করা ওয়াল্ড গার্ডেন যা লগইন করতে বাধা দেয়, তা সরাসরি সংগৃহীত ফার্স্ট-পার্টি ডেটার পরিমাণ কমিয়ে দেয়, যার ফলে মার্কেটিং ROI-এর ওপর একটি পরিমাপযোগ্য প্রভাব পড়ে।

ইভেন্ট সেক্টরে — স্টেডিয়াম, কনফারেন্স সেন্টার, এক্সিবিশন হল — ওয়াল্ড গার্ডেনকে অবশ্যই স্কেলের জন্য ডিজাইন করতে হবে। পিক লোডের সময়, হাজার হাজার ডিভাইস একই সাথে অথেনটিকেট করার চেষ্টা করবে। একটি ধীর বা ওভারলোডেড DNS রিসলভারের ওপর নির্ভরশীল ওয়াল্ড গার্ডেন একটি বটলনেক তৈরি করবে যা একটি ধীর বা আনরেসপন্সিভ পোর্টাল হিসেবে প্রকাশ পাবে, এমনকি যদি অন্তর্নিহিত নেটওয়ার্ক ইনফ্রাস্ট্রাকচার সঠিক আকারেরও হয়। ওয়াল্ড গার্ডেন ডোমেইনগুলোর জন্য অথরিটেটিভ একটি লোকাল, ক্যাশিং DNS রিসলভার ডিপ্লয় করা হাই-ডেনসিটি ডিপ্লয়মেন্টের জন্য একটি স্ট্যান্ডার্ড প্র্যাকটিস।

পাবলিক সেক্টর সংস্থাগুলোর জন্য, ওয়াল্ড গার্ডেন একটি কমপ্লায়েন্স ইন্সট্রুমেন্টও বটে। যুক্তরাজ্যের নেটওয়ার্ক অ্যান্ড ইনফরমেশন সিস্টেমস (NIS) রেগুলেশন এবং বৃহত্তর GDPR ফ্রেমওয়ার্কের অধীনে, সংস্থাগুলোকে অবশ্যই প্রমাণ করতে হবে যে পাবলিক-ফেসিং নেটওয়ার্কগুলোতে অ্যাক্সেস নিয়ন্ত্রিত এবং অডিটেবল। একটি কমপ্লায়েন্ট Captive Portal-এর সাথে যুক্ত একটি সঠিকভাবে কনফিগার করা ওয়াল্ড গার্ডেন এই অডিট ট্রেইলের জন্য প্রযুক্তিগত ভিত্তি প্রদান করে।

ওয়াল্ড গার্ডেন ভুল হওয়ার মূল্য কেবল প্রযুক্তিগত নয়। এটি হেল্পডেস্ক কল ভলিউম, গেস্ট স্যাটিসফ্যাকশন স্কোর, হারিয়ে যাওয়া মার্কেটিং ডেটা এবং সম্ভাব্য রেগুলেটরি এক্সপোজারের মাধ্যমে পরিমাপ করা হয়। এই ঝুঁকিগুলোর তুলনায় একটি শক্তিশালী ওয়াল্ড গার্ডেন কনফিগার এবং রক্ষণাবেক্ষণের বিনিয়োগ সামান্য, এবং এর রিটার্ন — উচ্চতর পোর্টাল অ্যাডপশন রেট, সমৃদ্ধ ফার্স্ট-পার্টি ডেটা এবং হ্রাসকৃত অপারেশনাল ফ্রিকশনের আকারে — পরিমাপযোগ্য এবং তাৎপর্যপূর্ণ উভয়ই।

মূল শব্দ ও সংজ্ঞা

Walled Garden

A controlled set of pre-approved domains and IP address ranges that a guest device can access on a WiFi network before completing authentication. All traffic to domains outside this list is blocked or redirected to the captive portal.

This is the foundational mechanism that allows a captive portal to function. Without it, the portal itself — and all social login providers it depends on — would be unreachable by unauthenticated devices.

Captive Portal

A web page that intercepts the internet traffic of a newly connected WiFi user and requires them to complete an action — such as logging in, accepting terms, or making a payment — before granting full network access.

The captive portal is the primary point of interaction for guests. It is the mechanism through which operators collect first-party data, enforce terms of service, and manage paid access tiers.

OAuth 2.0

An open authorisation standard that allows users to grant a third-party application limited access to their account on another service, without sharing their password. It is the protocol underpinning 'Login with Google' and 'Login with Facebook'.

Every social login option on a captive portal relies on OAuth 2.0. Each provider's OAuth endpoints must be whitelisted in the walled garden for the login flow to complete successfully.

Dynamic DNS Resolution

A network controller feature that periodically re-resolves whitelisted domain names to their current IP addresses and updates the enforcement ACLs accordingly, rather than using a static IP list.

This is essential for walled garden reliability. Without it, the IP addresses cached at deployment time will become stale as CDNs rotate their infrastructure, causing intermittent and hard-to-diagnose login failures.

Content Delivery Network (CDN)

A geographically distributed network of servers that delivers web content to users from the nearest available location, improving performance and availability.

Captive portals and social login providers rely on CDNs to serve scripts, fonts, and images. CDN subdomains (e.g., *.gstatic.com for Google, *.fbcdn.net for Facebook) must be included in the walled garden.

Captive Network Assistant (CNA)

A built-in feature of modern operating systems (iOS, Android, Windows, macOS) that automatically detects the presence of a captive portal by probing a known HTTP endpoint after connecting to a new WiFi network.

The CNA is what causes the portal login window to pop up automatically on a guest's device. If the probe domain is blocked by the walled garden, the CNA cannot detect the portal and the guest sees no login prompt.

Pre-Authentication ACL

An Access Control List applied to a network session before the user has authenticated. It defines which traffic is permitted (the walled garden) and which is blocked or redirected.

This is the technical implementation of the walled garden on enterprise network controllers. IT teams configure Pre-Authentication ACLs in the captive portal settings of their wireless controllers.

PCI DSS

The Payment Card Industry Data Security Standard is a set of security standards designed to ensure that all companies that accept, process, store, or transmit credit card information maintain a secure environment.

Relevant to any guest WiFi deployment with a paid access tier. The walled garden must permit TLS 1.2+ connections to the payment gateway without interception, and the guest network must be segmented from any cardholder data environment.

HTTP Strict Transport Security (HSTS)

A web security policy mechanism that instructs browsers to only interact with a server using HTTPS, preventing protocol downgrade attacks and cookie hijacking.

HSTS causes HTTPS interception by a captive portal controller to fail outright for major domains, as the browser refuses to accept a certificate it does not trust. This reinforces the case for a correctly configured walled garden over an HTTPS interception approach.

কেস স্টাডিজ

A 500-room luxury hotel is deploying a new guest WiFi network using Cisco Meraki hardware and the Purple platform. They need to support Google and Facebook logins, and offer a paid premium-speed tier via Stripe. What is the minimum set of domains that must be whitelisted in the Meraki walled garden, and how should they be configured?

The following domains must be entered into the Meraki dashboard under Wireless > Configure > Splash Page > Walled Garden Ranges:

  1. Purple Platform: *.purple.ai (covers cdn, portal, and api subdomains)
  2. Google OAuth: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com
  3. Facebook OAuth: www.facebook.com , graph.facebook.com, connect.facebook.net, *.fbcdn.net
  4. Stripe Payments: *.stripe.com
  5. OS Probes: captive.apple.com, connectivitycheck.gstatic.com, www.msftconnecttest.com

Cisco Meraki performs dynamic DNS resolution natively for walled garden entries, so no additional configuration is required for IP resolution. The hotel should also ensure their privacy policy URL is accessible from within the walled garden to comply with GDPR. Post-deployment, the IT team should test with a factory-reset iOS device and a factory-reset Android device to verify the full login flow for both social login methods.

বাস্তবায়ন সংক্রান্ত নোট: This solution is comprehensive and precise. It correctly identifies all five essential domain categories for this specific scenario. The inclusion of OS probe domains is a critical detail that is frequently missed. The reference to the specific Meraki configuration path demonstrates practical, actionable knowledge. The GDPR compliance note adds the business context that distinguishes a senior practitioner's response from a purely technical one.

A national retail chain with 200 stores is experiencing intermittent Google login failures on their guest WiFi. The failures are random — some stores are unaffected, others see failures on certain days or at certain times. The network uses Fortinet FortiGate controllers. What is the most likely root cause and how would you resolve it?

The most likely root cause is that the FortiGate walled garden is using a static IP list for Google's OAuth domains, and Google's CDN has rotated its IP addresses at some locations. The intermittent, location-specific nature of the failures is a classic indicator of CDN IP rotation — some stores' cached IP lists are still valid, others have become stale.

Resolution steps:

  1. Log into the FortiGate management console at an affected store and navigate to the captive portal walled garden configuration.
  2. Verify whether the Google OAuth domains are configured as domain names or as static IP addresses.
  3. If static IPs are present, replace them with domain-based entries: accounts.google.com, oauth2.googleapis.com, apis.google.com, *.gstatic.com.
  4. Enable the FortiGate's FQDN-based address objects with a short refresh interval (recommended: 60 seconds) to ensure dynamic DNS resolution is active.
  5. Roll this configuration change out to all 200 stores via FortiManager to ensure consistency.
  6. Monitor the affected stores for 48 hours post-change to confirm resolution.
বাস্তবায়ন সংক্রান্ত নোট: This diagnosis correctly identifies the static IP / CDN rotation problem as the root cause of intermittent, geographically distributed failures. The resolution is technically precise and demonstrates knowledge of FortiGate's FQDN address object feature. The recommendation to use FortiManager for centralised rollout reflects the operational reality of a 200-store deployment and shows awareness of change management at scale.

দৃশ্যপট বিশ্লেষণ

Q1. You are designing the guest WiFi for a new international airport terminal. The requirements include login via Google, Apple, and WeChat, plus a premium access tier sold via PayPal. What unique challenges does this scenario present for your walled garden configuration, and how would you address them?

💡 ইঙ্গিত:Consider the geographical and application-specific nature of WeChat's login flow, and the implications of a globally diverse user base for CDN IP resolution.

প্রস্তাবিত পদ্ধতি দেখুন

Three unique challenges arise. First, WeChat login: unlike standard web-based OAuth, WeChat's login flow on mobile devices often attempts to open the native WeChat app via a deep link rather than completing the flow in a web browser. This can break the captive portal flow entirely. The solution is to configure the portal to force a web-based QR code flow and whitelist the specific Tencent domains that serve the QR code and handle the authentication handshake (e.g., open.weixin.qq.com, wx.qq.com). Second, global CDN resolution: an international airport serves users from every region. Dynamic DNS resolution is critical, as Google, Apple, and PayPal serve their content from geographically distributed CDN nodes. The controller must re-resolve walled garden domains frequently to ensure the correct regional IP addresses are whitelisted. Third, PayPal localisation: PayPal uses country-specific domains and CDNs for localised payment experiences. In addition to *.paypal.com, you may need to whitelist *.paypalobjects.com and regional variants. A thorough audit of the PayPal checkout flow from multiple device locales is recommended before go-live.

Q2. A 60,000-seat stadium is experiencing widespread portal login failures during the first 15 minutes of every event, after which performance normalises. The infrastructure is correctly sized for the user load. What is the likely bottleneck and how would you resolve it?

💡 ইঙ্গিত:Think about what happens when 60,000 devices all attempt to connect and resolve the same domains simultaneously.

প্রস্তাবিত পদ্ধতি দেখুন

The bottleneck is almost certainly DNS resolution. When 60,000 devices connect simultaneously, they all attempt to resolve the same walled garden domains (portal CDN, Google OAuth, Apple Sign In, etc.) at the same time. If the upstream DNS resolver — typically the ISP's recursive resolver or a cloud DNS service — cannot handle this burst of queries, resolution latency spikes, causing the portal to appear slow or unresponsive even though the network itself is performing correctly. The performance normalises after the initial rush because the resolver's cache warms up and subsequent queries are served from cache. The solution is to deploy a local, caching DNS resolver (e.g., Unbound or a dedicated appliance) within the stadium's network infrastructure. This resolver should be pre-seeded with the walled garden domains before the event begins, so that all DNS queries for those domains are answered from local cache with sub-millisecond latency. The controller's DHCP configuration should point guest devices to this local resolver.

Q3. Your company is acquiring a chain of boutique hotels that uses a competitor's captive portal platform. You are tasked with migrating them to Purple. The existing IT team has no documentation of their current walled garden configuration. How would you approach the migration to ensure no guest-facing disruption?

💡 ইঙ্গিত:Before you build the new, you must understand the old. Consider both technical discovery and business requirements.

প্রস্তাবিত পদ্ধতি দেখুন

The migration should proceed in four stages. Stage 1 — Discovery: Connect a laptop to the existing guest WiFi in an unauthenticated state and use a packet capture tool (Wireshark) to record all DNS queries and HTTP/HTTPS requests made during the authentication flow. This produces a definitive list of every domain the existing portal depends on, regardless of what is or is not documented. Stage 2 — Categorisation: Map the discovered domains to the standard categories (portal platform, OAuth, CDN, OS probes, payments). Identify any non-standard domains — these may indicate custom integrations (e.g., a loyalty programme API, a local marketing platform) that must be preserved in the new configuration. Stage 3 — Parallel Deployment: Configure the Purple platform with the discovered domain list and deploy it on a test SSID alongside the existing portal. Run the full test protocol on both SSIDs simultaneously to validate that the Purple configuration is functionally equivalent. Stage 4 — Cutover: Once validated, migrate the production SSID to Purple during a low-traffic period (e.g., 3am on a weeknight). Monitor portal adoption rates and helpdesk tickets for the following 48 hours to confirm a clean cutover.

মূল বিষয়সমূহ

  • A walled garden is the whitelist of domains accessible before guest WiFi authentication — it is the mechanism that allows the captive portal itself to function.
  • Incorrect walled garden configuration is the leading cause of guest login failures; the most common omission is OS captive portal probe domains (captive.apple.com, connectivitycheck.gstatic.com).
  • Every social login method (Google, Facebook, Apple) requires its own set of OAuth and CDN domains to be whitelisted — missing even one will cause silent failures.
  • Always use dynamic DNS resolution for walled garden domains; static IP lists will degrade over time as CDN providers rotate their infrastructure.
  • Test every login path with real, factory-reset devices before go-live — administrator accounts and previously connected devices will not reveal misconfiguration.
  • Schedule a quarterly review of your walled garden whitelist; OAuth providers and CDNs change their domain structures regularly without notice.
  • A correctly configured walled garden directly increases portal adoption rates, first-party data capture, and guest satisfaction — making it a measurable driver of marketing and operational ROI.
আমাদের সম্পর্কে
ক্যারিয়ার
B Corp রিপোর্ট
প্ল্যানসমূহ
গেস্ট WiFi ফিচারসমূহ
গেস্ট WiFi প্রাইসিং
প্রফেশনাল সার্ভিসেস
ডেমো বুক করুন
নীতিমালা
আইনি
গোপনীয়তা নীতি
ব্যবহারের শর্তাবলী
আমার ডেটা
কুকি পলিসি
স্ট্যান্ডার্ড SLA
সাপোর্ট এবং পরামর্শ
ROI ক্যালকুলেটর
প্রাইসিং ক্যালকুলেটর
Purple সাপোর্ট
হোয়াটসঅ্যাপ
© 2026 Purple. সর্বস্বত্ব সংরক্ষিত।
কুকি পছন্দসমূহ পরিচালনা করুন