মূল কন্টেন্টে যান
বাংলা

Ubiquiti UniFi-এর জন্য Captive Portal

এই নির্ভরযোগ্য টেকনিক্যাল গাইডে Ubiquiti UniFi নেটওয়ার্ক অ্যাপ্লিকেশনে একটি এক্সটার্নাল captive portal (Purple) কনফিগার করার বিস্তারিত বিবরণ রয়েছে। এটি সিনিয়র আইটি পেশাদার এবং নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের জন্য অন্তর্নিহিত নেটওয়ার্ক মেকানিক্স, ধাপে ধাপে গেস্ট নেটওয়ার্ক ডেপ্লয়মেন্ট, walled garden হোয়াইটলিস্টিং, RADIUS অথেন্টিকেশন এবং ট্রাবলশুটিংয়ের কৌশলগুলি কভার করে।

📖 10 মিনিট পাঠ📝 2,475 শব্দ🔧 2 সমাধানকৃত উদাহরণ3 অনুশীলনী প্রশ্ন📚 8 মূল সংজ্ঞা

এই গাইডটি শুনুন

পডকাস্ট ট্রান্সক্রিপ্ট দেখুন
Ubiquiti UniFi-এর জন্য Captive Portal — একটি Purple টেকনিক্যাল ব্রিফিং [ভূমিকা এবং প্রসঙ্গ — আনুমানিক ১ মিনিট] Purple টেকনিক্যাল ব্রিফিং সিরিজে আপনাকে স্বাগত জানাই। আমি আপনাদের হোস্ট, এবং আজ আমরা Ubiquiti UniFi ইনফ্রাস্ট্রাকচারে একটি এক্সটার্নাল captive portal স্থাপন করার সুনির্দিষ্ট বিষয়গুলো নিয়ে আলোচনা করছি — যা বিশ্বজুড়ে হসপিটালিটি, রিটেইল এবং এন্টারপ্রাইজ পরিবেশে সবচেয়ে ব্যাপকভাবে ব্যবহৃত নেটওয়ার্ক প্ল্যাটফর্মগুলোর একটি। আপনি যদি UniFi Cloud Gateways, Dream Machines, অথবা UniFi Network Application নিয়ে কাজ করা একজন আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট বা সিস্টেম ইন্টিগ্রেটর হন, তবে এই এপিসোডটি আপনার জন্য। আমরা আলোচনা করব কীভাবে এই এক্সটার্নাল পোর্টাল মেকানিজমটি ভেতরে কাজ করে, কীভাবে এটি সঠিকভাবে কনফিগার করতে হয়, সাধারণ ভুলগুলো কোথায় হয় এবং কেন বেসিক স্প্ল্যাশ পেজের চেয়ে বেশি ফিচারের প্রয়োজন থাকা ভেন্যুগুলোর জন্য একটি UniFi ডেপ্লয়মেন্টের ওপর Purple যুক্ত করা সঠিক আর্কিটেকচারাল সিদ্ধান্ত। চলুন শুরু করা যাক। [টেকনিক্যাল ডিপ-ডাইভ — আনুমানিক ৫ মিনিট] প্রথমে আসুন বুঝে নিই যে যখন একজন গেস্ট captive portal সক্রিয় থাকা একটি UniFi SSID-এর সাথে সংযোগ স্থাপন করে, তখন আসলে কী ঘটে। যখন একটি গেস্ট ডিভাইস আপনার গেস্ট SSID-এর সাথে যুক্ত হয়, তখন UniFi অ্যাক্সেস পয়েন্ট (AP) এটিকে যথারীতি DHCP-এর মাধ্যমে একটি IP অ্যাড্রেস প্রদান করে। কিন্তু ডিভাইসটি সাথে সাথেই এমন একটি অবস্থায় চলে যায় যাকে UniFi বলে "pending" স্টেট। এই অবস্থায়, AP-এর বিল্ট-ইন DNSmasq প্রসেস ডিভাইসটির করা প্রতিটি DNS কোয়েরি ইন্টারসেপ্ট করে, ডিভাইসটি কোন DNS সার্ভার ব্যবহার করছে তা বিবেচনা না করেই। AP সমস্ত DNS ট্রাফিককে নিজের দিকে রিডাইরেক্ট করে। একই সাথে, AP পোর্ট ৮০-তে একটি লাইটওয়েট HTTP রিডাইরেক্টর চালায়। গেস্টের ব্রাউজার যেকোনো HTTP রিকোয়েস্ট (এবং এটি অত্যন্ত গুরুত্বপূর্ণ শব্দ, HTTP, HTTPS নয়) করার সাথে সাথেই রিডাইরেক্টর একটি 302 রিডাইরেক্ট পাঠায়, যা ব্রাউজারটিকে captive portal স্প্ল্যাশ পেজে নিয়ে যায়। এই মেকানিজমটিই iOS এবং Android ডিভাইসে "Sign in to WiFi" নোটিফিকেশনটিকে ট্রিগার করে। এখন, এখানেই বিল্ট-ইন পোর্টাল বনাম এক্সটার্নাল পোর্টালের পার্থক্যটি অত্যন্ত গুরুত্বপূর্ণ হয়ে ওঠে। বিল্ট-ইন UniFi Hotspot Portal-এর ক্ষেত্রে, স্প্ল্যাশ পেজটি সরাসরি UniFi Network Application দ্বারা পরিবেশিত হয়। এটি কার্যকর, সেট আপ করা দ্রুত, কিন্তু এর সীমাবদ্ধতা অনেক বেশি। আপনি এতে কেবল বেসিক পাসওয়ার্ড অথেন্টিকেশন, ভাউচার এবং Stripe পেমেন্ট পাবেন। এতে কোনো ইমেল ক্যাপচার, সোশ্যাল লগইন, GDPR কনসেন্ট ম্যানেজমেন্ট, CRM ইন্টিগ্রেশন এবং সেশন কাউন্টের বাইরে কোনো অর্থবহ অ্যানালিটিক্স নেই। আপনি যখন একটি External Portal Server কনফিগার করেন — যা আজকের আমাদের আলোচনার মূল বিষয় — তখন আপনি UniFi কন্ট্রোলারকে নির্দেশ দিচ্ছেন যেন এটি গেস্টদের সম্পূর্ণ আলাদা একটি ওয়েব অ্যাপ্লিকেশনে রিডাইরেক্ট করে। আমাদের ক্ষেত্রে, সেটি হলো Purple। External Portal Server ফিল্ডে আপনি যে URL-টি লিখবেন, সেটিই হবে সেই সমস্ত 302 রিডাইরেক্টের গন্তব্য।সেই রিডাইরেক্ট URL সম্পর্কে গুরুত্বপূর্ণ প্রযুক্তিগত বিবরণ এখানে দেওয়া হলো। যখন UniFi কোনো অতিথিকে আপনার বাহ্যিক পোর্টালে রিডাইরেক্ট করে, তখন এটি URL-এ বেশ কয়েকটি কোয়েরি প্যারামিটার যুক্ত করে। এর মধ্যে রয়েছে: AP MAC অ্যাড্রেস, ক্লায়েন্ট ডিভাইসের MAC অ্যাড্রেস, একটি Unix টাইমস্ট্যাম্প, ক্লায়েন্ট যে মূল URL-এ পৌঁছানোর চেষ্টা করছিল এবং SSID নাম। আপনার বাহ্যিক পোর্টাল — এই ক্ষেত্রে Purple — সেই প্যারামিটারগুলো ক্যাপচার করে, সংযোগকারী ডিভাইসটি সনাক্ত করতে সেগুলো ব্যবহার করে, উপযুক্ত স্প্ল্যাশ পেজ প্রদর্শন করে, প্রমাণীকরণ (authentication) পরিচালনা করে এবং তারপরে সেই MAC অ্যাড্রেসটিকে অথরাইজ করার জন্য UniFi Network Application-এ একটি API কল করে। সেই API কলটি হলো অত্যন্ত গুরুত্বপূর্ণ হ্যান্ডশেক। UniFi Network Application 9.1 এবং পরবর্তী সংস্করণ অনুযায়ী, সঠিক কী-ভিত্তিক প্রমাণীকরণ সহ একটি অফিসিয়াল REST API রয়েছে। অথরাইজেশন এন্ডপয়েন্টটি হলো সাইট API-এর প্রথম সংস্করণে একটি POST রিকোয়েস্ট, যা নির্দিষ্ট ক্লায়েন্ট আইডি-কে লক্ষ্য করে এবং এতে একটি JSON বডি থাকে যা মিনিটে সময়সীমা, মেগাবাইটে ডেটা ব্যবহারের সীমা এবং প্রতি সেকেন্ডে কিলোবিটে গতির সীমা নির্দিষ্ট করতে পারে। একবার কন্ট্রোলার সেই অথরাইজেশন পেয়ে গেলে, এটি AP-তে নির্দেশনা পাঠায় এবং অতিথি পেন্ডিং থেকে অথরাইজড অবস্থায় চলে যায়। ইন্টারনেট অ্যাক্সেস মঞ্জুর করা হয়। এবার চলুন Walled Garden সম্পর্কে কথা বলা যাক, যাকে UniFi ‘Pre-Authorization Access’ বলে থাকে। এটি হলো ডোমেন এবং IP অ্যাড্রেসের হোয়াইটলিস্ট যা অতিথিরা প্রমাণীকরণের আগেই অ্যাক্সেস করতে পারেন। এটি অত্যন্ত প্রয়োজনীয় এবং ভুল কনফিগারেশনের সবচেয়ে সাধারণ উৎসগুলোর মধ্যে একটি। ন্যূনতম পক্ষে, আপনার Walled Garden-এ আপনার Purple পোর্টালের ফুল্লি কোয়ালিফাইড ডোমেন নেম (FQDN) এবং Purple-এর ইনফ্রাস্ট্রাকচার যে IP অ্যাড্রেস বা CIDR রেঞ্জে নির্দেশ করে তা অন্তর্ভুক্ত করতে হবে। আপনি যদি সোশ্যাল লগইন — Facebook, Google, Microsoft — ব্যবহার করেন, তবে আপনাকে সেই প্রদানকারীদের জন্য OAuth এন্ডপয়েন্ট ডোমেনগুলোও যুক্ত করতে হবে। Google-এর লগইন এন্ডপয়েন্টগুলো একাধিক IP রেঞ্জ এবং accounts.google.com ও oauth2.googleapis.com সহ বেশ কয়েকটি ডোমেন জুড়ে বিস্তৃত। Facebook-এর লগইন ইনফ্রাস্ট্রাকচারের জন্যও একইভাবে বেশ কয়েকটি এন্ট্রির প্রয়োজন হয়। Purple-এর ডকুমেন্টেশনে প্রয়োজনীয় সঠিক এন্ট্রিগুলোর একটি নিয়মিত আপডেট করা তালিকা দেওয়া থাকে এবং সেই প্রদানকারীরা তাদের ইনফ্রাস্ট্রাকচার আপডেট করার সাথে সাথে এই তালিকাটিও আপ-টু-ডেট রাখা হয়। UniFi-এর সুনির্দিষ্ট একটি জটিল বৈশিষ্ট্য রয়েছে যা অনেক ডেপ্লয়মেন্টের ক্ষেত্রে সমস্যা তৈরি করে। AP-তে থাকা HTTP রিডাইরেক্টর কেবল ৮০ নম্বর পোর্টের প্লেইন HTTP ট্রাফিক ইন্টারসেপ্ট করে। আধুনিক ডিভাইসগুলো — iOS, Android, Windows, macOS — সবই HTTPS-ভিত্তিক Captive Portal ডিটেকশন পরিচালনা করে। Apple ডিভাইসগুলো HTTPS-এর মাধ্যমে captive.apple.com-এ হিট করে। Android ডিভাইসগুলো connectivitycheck.gstatic.com-এ হিট করে। যদি সেই HTTPS রিকোয়েস্টগুলো কোনো নির্দিষ্ট প্রতিক্রিয়া না পায়, তবে ডিভাইসটি সিদ্ধান্ত নিতে পারে যে কোনো Captive Portal নেই এবং সাইন-ইন প্রম্পটটি দেখাতে ব্যর্থ হতে পারে। এর সমাধান হলো আপনার Walled Garden-এ প্রধান অপারেটিং সিস্টেমগুলোর Captive Portal ডিটেকশন ডোমেনগুলো অন্তর্ভুক্ত করা নিশ্চিত করা এবং আপনার Purple পোর্টালটি যেন একটি বৈধ, বিশ্বস্ত SSL সার্টিফিকেট সহ HTTPS-এর মাধ্যমে অ্যাক্সেস করা যায় তা নিশ্চিত করা। সেলফ-সাইনড (Self-signed) সার্টিফিকেটগুলোর কারণে ব্রাউজারে সিকিউরিটি ওয়ার্নিং দেখাবে যা পোর্টালটি লোড হওয়া ব্লক করে দেবে। প্রোডাকশন ডেপ্লয়মেন্টের জন্য এটি বাধ্যতামূলক。 UniFi-নির্দিষ্ট অন্য বিবেচনাটি হলো কন্ট্রোলার অ্যাক্সেসিবিলিটি। UniFi Network Application — এটি ক্লাউড গেটওয়ে, ক্লাউড কি বা স্ব-হোস্ট করা সার্ভার যেটিতেই চলুক না কেন — API অথরাইজেশন কল সফল হওয়ার জন্য এটি অবশ্যই Purple-এর অবকাঠামো থেকে অ্যাক্সেসযোগ্য হতে হবে। আপনার কন্ট্রোলারটি যদি NAT-এর পেছনে কোনো প্রাইভেট নেটওয়ার্কে থাকে, তবে আপনাকে নিশ্চিত করতে হবে যে প্রাসঙ্গিক API পোর্টগুলো অ্যাক্সেসযোগ্য। স্ব-হোস্ট করা কন্ট্রোলারের ক্ষেত্রে, এটি সাধারণত লেগাসি API-এর জন্য পোর্ট ৮৪৪৩ (8443), অথবা সংস্করণ ৯.১-এ প্রবর্তিত নতুন API-এর জন্য স্ট্যান্ডার্ড HTTPS পোর্ট ৪৪৩ (443)। আপনার কন্ট্রোলারে ইনবাউন্ড অ্যাক্সেসের জন্য প্রয়োজনীয় সঠিক IP রেঞ্জগুলো Purple-এর সাপোর্ট ডকুমেন্টেশনে নির্দিষ্ট করা রয়েছে। RADIUS-ভিত্তিক অথেনটিকেশনের জন্য — যা ওপেন গেস্ট SSID মডেলের পরিবর্তে WPA2-Enterprise বা WPA3-Enterprise SSID-এর পাশাপাশি Purple ডেপ্লয় করার সময় প্রাসঙ্গিক — UniFi-এর বিল্ট-ইন RADIUS সার্ভার স্ট্যান্ডার্ড 802.1X EAP পদ্ধতিগুলো সমর্থন করে। আপনি Settings, Networks, RADIUS Servers-এর অধীনে RADIUS প্রোফাইল কনফিগার করবেন এবং তারপর আপনার SSID কনফিগারেশনে সেই প্রোফাইলটি রেফারেন্স হিসেবে ব্যবহার করবেন। UniFi সংস্করণ ৮.৪ থেকে TLS-এর ওপর RADIUS (যা RADSEC নামে পরিচিত) সমর্থন করে, যা AP এবং অথেনটিকেশন সার্ভারের মধ্যে RADIUS ট্রাফিক এনক্রিপ্ট করে। মাল্টি-সাইট ডেপ্লয়মেন্টের ক্ষেত্রে যেখানে RADIUS ট্রাফিক পাবলিক ইন্টারনেটের মাধ্যমে পরিবাহিত হয়, সেখানে RADSEC জোরালোভাবে সুপারিশ করা হয়। [বাস্তবায়ন সুপারিশ এবং সম্ভাব্য সমস্যাসমূহ — আনুমানিক ২ মিনিট] UniFi-তে Purple ডেপ্লয়কারী যেকোনো ক্লায়েন্টের সাথে আমি যে বাস্তবসম্মত ইমপ্লিমেন্টেশন চেকলিস্টটি নিয়ে আলোচনা করি, তা এখানে দেওয়া হলো। প্রথমত, নেটওয়ার্ক সেগমেন্টেশন। আপনার গেস্ট SSID অবশ্যই একটি ডেডিকেটেড VLAN-এ থাকতে হবে, যা আপনার কর্পোরেট এবং IoT নেটওয়ার্ক থেকে সম্পূর্ণ বিচ্ছিন্ন। UniFi এটিকে অত্যন্ত সহজ করে তোলে — Settings, Networks-এ একটি ডেডিকেটেড নেটওয়ার্ক তৈরি করুন, এটিকে একটি VLAN ID অ্যাসাইন করুন এবং আপনার গেস্ট SSID-টিকে সেই নেটওয়ার্কের সাথে যুক্ত করুন। গেস্ট-টু-গেস্ট ট্রাফিক প্রতিরোধ করতে গেস্ট নেটওয়ার্কে ক্লায়েন্ট আইসোলেশন চালু করুন। দ্বিতীয়ত, কন্ট্রোলারের একটি বৈধ FQDN এবং একটি বিশ্বস্ত SSL সার্টিফিকেট থাকতে হবে। শুধুমাত্র IP অ্যাড্রেসের ওপর নির্ভর করবেন না। একটি সঠিক ডোমেন নাম ব্যবহার করুন, সেটির জন্য একটি Let's Encrypt বা বাণিজ্যিক সার্টিফিকেট সংগ্রহ করুন এবং সেই সার্টিফিকেটটি ব্যবহার করার জন্য UniFi কনফিগার করুন। এটি অধিকাংশ HTTPS রিডাইরেক্ট সমস্যার সমাধান করে। তৃতীয়ত, আপনার ওয়াল্ড গার্ডেন সতর্কতার সাথে তৈরি করুন এবং এটি পরীক্ষা করুন। সর্বনিম্ন এন্ট্রিগুলো হলো: আপনার Purple পোর্টাল ডোমেন এবং এর IP রেঞ্জ, iOS, Android এবং Windows-এর জন্য Captive Portal ডিটেকশন ডোমেন এবং আপনার ব্যবহৃত যেকোনো OAuth প্রোভাইডার ডোমেন। এমন একটি ডিভাইস দিয়ে পরীক্ষা করুন যা আগে কখনো এই নেটওয়ার্কের সাথে সংযুক্ত হয়নি — কারণ ক্যাশড DNS এবং নেটওয়ার্ক স্টেট পরীক্ষার সময় ওয়াল্ড গার্ডেনের ত্রুটিগুলোকে আড়াল করতে পারে। চতুর্থত, API ইন্টিগ্রেশনের জন্য, ন্যূনতম প্রয়োজনীয় পারমিশন সহ UniFi Network Application-এ একটি ডেডিকেটেড লোকাল অ্যাডমিন অ্যাকাউন্ট ব্যবহার করুন। আপনার প্রাইমারি অ্যাডমিন ক্রেডেনশিয়াল ব্যবহার করবেন না। আপনি যদি Network Application ৯.১ বা তার পরবর্তী সংস্করণ ব্যবহার করেন, তবে Control Plane, Integrations-এর অধীনে নতুন API কী মেকানিজম ব্যবহার করুন — এটি আরও নিরাপদ এবং এর জন্য ক্রেডেনশিয়াল-ভিত্তিক অথেনটিকেশনের প্রয়োজন হয় না। পঞ্চমতঃ, সেশনের সময়কাল সতর্কতার সাথে বিবেচনা করুন। UniFi-এর ডিফল্ট গেস্ট সেশনের মেয়াদ আট ঘণ্টার মতো কম হতে পারে। হসপিটালিটি ডেপ্লয়মেন্টের ক্ষেত্রে যেখানে অতিথিরা একাধিক রাত থাকতে পারেন, সেখানে Purple পোর্টাল সেটিংসে উপযুক্ত সেশনের সময়কাল কনফিগার করুন এবং নিশ্চিত করুন যে সেই সময়কালগুলি API অথরাইজেশন কলে সঠিকভাবে পাস করা হচ্ছে। আমি যে সবচেয়ে সাধারণ ভুলটি দেখতে পাই তা হলো এমন একটি সেলফ-হোস্টেড কন্ট্রোলারে ডেপ্লয় করা যা পাবলিকলি অ্যাক্সেসযোগ্য নয়। যদি Purple অতিথিদের অথরাইজ করার জন্য আপনার কন্ট্রোলারে পৌঁছাতে না পারে, তবে পোর্টালটি লোড হবে কিন্তু অথেনটিকেশন নীরবে ব্যর্থ হবে। লাইভ হওয়ার আগে সর্বদা Purple-এর ইনফ্রাস্ট্রাকচার থেকে API কানেক্টিভিটি যাচাই করুন। [র‌্যাপিড-ফায়ার প্রশ্নোত্তর — প্রায় ১ মিনিট] এটি কি UniFi Dream Machine Pro-তে কাজ করে? হ্যাঁ। সমস্ত UniFi OS কনসোল — UDM, UDM Pro, UDM SE, UCG Ultra, UCG-Max — External Portal Server কনফিগারেশন সমর্থন করে। Network Application-টি ডিভাইসেই চলে। আমি কি একটি একক Purple অ্যাকাউন্ট থেকে একাধিক UniFi সাইটে Purple ব্যবহার করতে পারি? হ্যাঁ। Purple-এর মাল্টি-সাইট আর্কিটেকচার ঠিক এই কারণেই ডিজাইন করা হয়েছে। প্রতিটি ভেন্যুকে Purple-এ একটি পৃথক সাইট হিসেবে কনফিগার করা হয়, যা সংশ্লিষ্ট UniFi সাইটের সাথে ম্যাপ করা থাকে। আমাকে কি UniFi গেটওয়েতে ফায়ারওয়াল পোর্ট খুলতে হবে? আপনাকে নিশ্চিত করতে হবে যে গেস্ট VLAN ট্রাফিক পোর্ট ৪৪৩-এ Purple পোর্টাল ডোমেনে পৌঁছাতে পারে। কন্ট্রোলার API পোর্টটিও Purple-এর সার্ভার থেকে অ্যাক্সেসযোগ্য হতে হবে। Purple-এর ডকুমেন্টেশন নির্দিষ্ট IP রেঞ্জগুলি সরবরাহ করে। WPA3 সম্পর্কে কী বলা যায়? UniFi WPA3 Personal এবং WPA3 Enterprise সমর্থন করে। Captive Portal মেকানিজমটি গেস্ট নেটওয়ার্কে WPA3 Personal-এর সাথে কাজ করে। WPA3 Enterprise ৮০২.১X এবং RADIUS ব্যবহার করে, যা একটি ভিন্ন অথেনটিকেশন ফ্লো। [সংক্ষিপ্তসার এবং পরবর্তী পদক্ষেপ — প্রায় ১ মিনিট] সংক্ষেপে বলতে গেলে: UniFi-তে একটি এক্সটার্নাল Captive Portal হিসেবে Purple ডেপ্লয় করা একটি সু-সমর্থিত এবং কাঠামোগতভাবে সঠিক ইন্টিগ্রেশন। মূল ধাপগুলি হলো: আপনার গেস্ট SSID-কে আপনার Purple পোর্টাল URL-এর দিকে নির্দেশকারী External Portal Server অপশন দিয়ে কনফিগার করুন, একটি ব্যাপক ওয়াল্ড গার্ডেন তৈরি করুন যা Purple-এর ইনফ্রাস্ট্রাকচার এবং আপনার ব্যবহৃত যেকোনো OAuth প্রোভাইডারকে কভার করে, নিশ্চিত করুন যে আপনার UniFi কন্ট্রোলারের একটি বৈধ SSL সার্টিফিকেট রয়েছে এবং এটি Purple-এর API সার্ভার থেকে অ্যাক্সেসযোগ্য, এবং আপনার ভেন্যুর ধরনের জন্য উপযুক্ত সেশনের সময়কাল কনফিগার করুন। ব্যবসায়িক সুবিধাটি খুবই সহজ। বিল্ট-ইন UniFi পোর্টাল আপনাকে একটি স্প্ল্যাশ পেজ প্রদান করে। Purple আপনাকে একটি কমপ্লায়েন্স-প্রস্তুত, অ্যানালিটিক্স-চালিত গেস্ট এক্সপেরিয়েন্স প্ল্যাটফর্ম দেয় যা আপনার CRM-এর সাথে একীভূত হয়, GDPR সম্মতির অধীনে ফার্স্ট-পার্টি ডেটা সংগ্রহ করে এবং ফুটফল ও ডোয়েল-টাইম অ্যানালিটিক্স প্রদান করে যা ভেন্যু অপারেটর এবং মার্কেটিং টিমের আসলেই প্রয়োজন। আপনি যদি স্কেলে UniFi ডেপ্লয়কারী একজন MSP বা সিস্টেম ইন্টিগ্রেটর হন, তবে Purple-এর মাল্টি-সাইট ম্যানেজমেন্ট এবং হোয়াইট-লেবেল ক্ষমতা এটিকে আপনার ক্লায়েন্টদের জন্য সঠিক ওভারলে করে তোলে। বিস্তারিত কনফিগারেশন ডকুমেন্টেশন, ওয়াল্ড গার্ডেন IP তালিকা এবং API ইন্টিগ্রেশন গাইডের জন্য, purple.ai ভিজিট করুন। শোনার জন্য ধন্যবাদ।

📚 Part of our core series: Multi-Tenant WiFi

header_image.png

এক্সিকিউটিভ সামারি

যেহেতু এন্টারপ্রাইজ ফিজিক্যাল ভেন্যুগুলো — যার মধ্যে রয়েছে বড় আকারের রিটেইল চেইন [1] এবং মাল্টি-সাইট হসপিটালিটি গ্রুপ [2] থেকে শুরু করে প্রধান পরিবহন হাব [3] এবং শিক্ষা প্রতিষ্ঠান [4] — তাদের ওয়্যারলেস পরিকাঠামোর মূল্য সর্বাধিক করতে চায়, বিল্ট-ইন হটস্পট কন্ট্রোলারের সীমাবদ্ধতাগুলো একটি উল্লেখযোগ্য অপারেশনাল বাধা হয়ে দাঁড়ায়। Ubiquiti UniFi ইকোসিস্টেম অত্যন্ত নির্ভরযোগ্য, সাশ্রয়ী এবং স্কেলযোগ্য হার্ডওয়্যার প্রদান করে। তবে, এর নেটিভ গেস্ট পোর্টালটিতে উন্নত ডাটা ক্যাপচার, মাল্টি-সাইট অ্যানালিটিক্স, CRM ইন্টিগ্রেশন, গ্লোবাল প্রাইভেসি কমপ্লায়েন্স (GDPR, CCPA, PCI DSS), এবং মনেটাইজেশন ক্ষমতার অভাব রয়েছে যা আধুনিক এন্টারপ্রাইজ অপারেশনের জন্য প্রয়োজনীয়।

এই টেকনিক্যাল রেফারেন্স গাইডটি একটি Ubiquiti UniFi নেটওয়ার্ক আর্কিটেকচারের উপর Purple-এর এন্টারপ্রাইজ WiFi ইন্টেলিজেন্স প্ল্যাটফর্ম [5] ওভারলে করার জন্য একটি ব্যাপক আর্কিটেকচারাল ওয়াকথ্রু প্রদান করে। UniFi-এর External Portal Server ক্ষমতা ব্যবহার করে, নেটওয়ার্ক আর্কিটেক্ট এবং সিস্টেম ইন্টিগ্রেটররা লোকাল কন্ট্রোলারের সীমাবদ্ধতাগুলো এড়িয়ে যেতে পারেন। এই ইন্টিগ্রেশনটি গেস্ট অথেন্টিকেশনকে Purple-এর সুরক্ষিত, ক্লাউড-হোস্টেড আইডেন্টিটি এবং অ্যানালিটিক্স ইঞ্জিনের মাধ্যমে রাউট করে, যা একটি সাধারণ ইউটিলিটিকে একটি এন্টারপ্রাইজ-গ্রেড মার্কেটিং এবং অপারেশনাল সম্পদে রূপান্তরিত করে।

টেকনিক্যাল ডিপ-ডাইভ

একটি সুরক্ষিত এবং স্থিতিশীল এক্সটার্নাল Captive Portal ডেপ্লয় করতে, নেটওয়ার্ক ইঞ্জিনিয়ারদের অবশ্যই লো-লেভেল কমিউনিকেশন এবং স্টেট ট্রানজিশনগুলো বুঝতে হবে যা ঘটে যখন একজন অনঅথেন্টিকেটেড ক্লায়েন্ট ওয়্যারলেস নেটওয়ার্কের সাথে সংযুক্ত হয়।

গেস্ট কানেকশন এবং রিডাইরেকশন লাইফসাইকেল

UniFi Captive Portal ওয়ার্কফ্লো একটি কঠোর স্টেট-ভিত্তিক মডেলে কাজ করে। যখন কোনো ক্লায়েন্ট গেস্ট-এনাবেলড SSID-এর সাথে যুক্ত হয়, তখন নিম্নলিখিত ক্রমানুসারী প্রক্রিয়াটি শুরু হয়:

ধাপ উপাদান অ্যাকশন / স্টেট ট্রানজিশন টেকনিক্যাল মেকানিজম
১. অ্যাসোসিয়েশন ক্লায়েন্ট এবং অ্যাক্সেস পয়েন্ট ক্লায়েন্ট SSID-এর সাথে যুক্ত হয়; DHCP সার্ভার IP অ্যাড্রেস, সাবনেট মাস্ক, গেটওয়ে এবং DNS সার্ভার অ্যাসাইন করে। স্ট্যান্ডার্ড 802.11 অ্যাসোসিয়েশন এবং DHCP লিজ।
২. কোয়ারেন্টাইন UniFi অ্যাক্সেস পয়েন্ট (AP) AP ক্লায়েন্টের MAC অ্যাড্রেসকে একটি কোয়ারেন্টাইনড / পেন্ডিং স্টেটে (authorized: false) রাখে। Layer 2/3 ব্লকিং নিয়মগুলো লোকালি AP-এর ভার্চুয়াল ইন্টারফেসে প্রয়োগ করা হয়।
৩. DNS ইন্টারসেপশন AP লোকাল ডেমন AP একটি লোকাল DNSmasq প্রসেস চালায় যা পেন্ডিং ক্লায়েন্টদের সমস্ত DNS কোয়েরি ইন্টারসেপ্ট করে। AP সমস্ত পোর্ট 53 (UDP/TCP) ট্রাফিককে তার লোকাল DNS রিজলভারের দিকে রিডাইরেক্ট করে, ক্লায়েন্টের DNS সেটিংস যাই হোক না কেন।
৪. HTTP ইন্টারসেপশন AP রিডাইরেক্টর AP পোর্ট 80-এ একটি লাইটওয়েট HTTP রিডাইরেক্টর ডেমন চালায়। ক্লায়েন্ট দ্বারা করা যেকোনো HTTP রিকোয়েস্ট ইন্টারসেপ্ট করা হয়। AP একটি HTTP 302 Found রিডাইরেক্ট দিয়ে রেসপন্স করে।
5. Redirection Client Browser Client-এর ব্রাউজার (অথবা ওএস-এর Captive Portal Assistant) কনফিগার করা এক্সটার্নাল পোর্টাল URL-এ রিডাইরেক্ট করা হয়। 302 রিডাইরেক্ট URL-এর সাথে ক্লায়েন্ট এবং AP মেটাডেটা সম্বলিত গুরুত্বপূর্ণ কোয়েরি প্যারামিটার যুক্ত করা হয়।
6. Authentication External Portal (Purple) ক্লায়েন্ট Purple স্প্ল্যাশ পেজের সাথে ইন্টারঅ্যাক্ট করে এবং অথেন্টিকেশন সম্পন্ন করে (যেমন: সোশ্যাল লগইন, ইমেল রেজিস্ট্রেশন, SMS OTP)। Purple-এর ক্লাউড ইনফ্রাস্ট্রাকচারে হোস্ট করা সুরক্ষিত HTTPS সেশন।
7. API Handshake Purple Cloud এবং UniFi Controller Purple ক্রেডেনশিয়াল যাচাই করে এবং UniFi নেটওয়ার্ক অ্যাপ্লিকেশনে একটি সুরক্ষিত API কল ইস্যু করে। REST API কল (POST রিকোয়েস্ট) যার মধ্যে ক্লায়েন্ট MAC অ্যাড্রেস, সাইট ID এবং সেশন প্যারামিটার থাকে।
8. Authorization UniFi Controller এবং AP UniFi Controller ক্লায়েন্ট স্টেট আপডেট করে authorized: true করে এবং AP-তে আপডেট করা ACL পুশ করে। AP ক্লায়েন্ট MAC অ্যাড্রেসের জন্য লেয়ার ২/৩ ব্লকগুলি সরিয়ে দেয়, যা ইন্টারনেট গেটওয়েতে সম্পূর্ণ রাউটিং প্রদান করে।

রিডাইরেকশন কোয়েরি প্যারামিটারসমূহ (The Redirection Query Parameters)

যখন UniFi AP একটি HTTP 302 রিডাইরেক্ট ইস্যু করে, তখন এটি এক্সটার্নাল পোর্টাল URL-এর সাথে কোয়েরি প্যারামিটারের একটি স্ট্যান্ডার্ড সেট যুক্ত করে। ক্লায়েন্টকে সনাক্ত করতে এবং পরবর্তী API অথরাইজেশন সম্পন্ন করতে এক্সটার্নাল পোর্টালকে অবশ্যই এই প্যারামিটারগুলি ক্যাপচার করতে হবে:

https://portal.purplehotspot.com/guest/s/default/?ap=94:2a:6f:d0:30:57&id=1c:71:25:63:e4:24&t=1742398732&url=http://connectivitycheck.gstatic.com%2F&ssid=purple-guest
  • ap: নির্দিষ্ট UniFi অ্যাক্সেস পয়েন্টের MAC অ্যাড্রেস যার সাথে ক্লায়েন্ট সংযুক্ত রয়েছে।
  • id: নেটওয়ার্ক অ্যাক্সেসের অনুরোধকারী ক্লায়েন্ট ডিভাইসের MAC অ্যাড্রেস।
  • t: সিকিউরিটি ভেরিফিকেশনের জন্য ব্যবহৃত একটি ইউনিক্স ইপক (Unix epoch) টাইমস্ট্যাম্প যা রিডাইরেক্ট শুরুর সময়কে নির্দেশ করে।
  • url: ক্লায়েন্ট যে আসল URL-টি অ্যাক্সেস করার চেষ্টা করেছিল (প্রায়শই এটি একটি ওএস-এর Captive Portal সনাক্তকরণ এন্ডপয়েন্ট)।
  • ssid: ক্লায়েন্ট যে SSID-এর সাথে সংযুক্ত হয়েছে তার নাম, যা পোর্টালকে সাইট-নির্দিষ্ট ব্র্যান্ডিং প্রদর্শন করার সুবিধা দেয়।

architecture_overview.png

ওয়াল্ড গার্ডেন (প্রি-অথরাইজেশন অ্যাক্সেস কন্ট্রোল)

কোনো ক্লায়েন্ট অথরাইজড হওয়ার আগে, Pre-Authorization Access তালিকায় (যা সাধারণত Walled Garden নামে পরিচিত) স্পষ্টভাবে উল্লেখ করা ডেস্টিনেশন বা গন্তব্য ছাড়া সমস্ত ট্রাফিক ব্লক করা থাকে। যেহেতু আধুনিক ক্লায়েন্ট ডিভাইসগুলো স্বয়ংক্রিয় Captive Portal Assistant (CPA) চালায় যা HTTPS-এর মাধ্যমে সংযোগ পরীক্ষা করে, এবং যেহেতু এক্সটার্নাল অথেন্টিকেশন প্রায়শই থার্ড-পার্টি আইডেন্টিটি প্রোভাইডারদের (IdPs) উপর নির্ভর করে, তাই একটি কার্যকর ও সঠিক ওয়াল্ড গার্ডেন কনফিগার করা অত্যন্ত গুরুত্বপূর্ণ।

ওয়াল্ড গার্ডেন থেকে যদি কোনো প্রয়োজনীয় ডোমেন বা IP রেঞ্জ বাদ পড়ে, তবে স্প্ল্যাশ পেজটি লোড হতে ব্যর্থ হবে, সোশ্যাল লগইন বাটনগুলি কাজ করা বন্ধ করে দেবে, অথবা ক্লায়েন্ট ডিভাইসটি নেটওয়ার্ক ত্রুটিপূর্ণ মনে করে সম্পূর্ণরূপে WiFi সংযোগ বিচ্ছিন্ন করে দেবে।

ইমপ্লিমেন্টেশন গাইড

এই বিভাগটি Ubiquiti UniFi Network Application (Controller)-এর সাথে Purple-এর External Captive Portal সংহত করার জন্য ধাপে ধাপে প্রয়োজনীয় কনফিগারেশনের রূপরেখা প্রদান করে।

ধাপ ১: Network Segmentation এবং VLAN Configuration

এন্টারপ্রাইজ-গ্রেড নিরাপত্তা এবং সম্মতি (যেমন PCI DSS এবং GDPR) নিশ্চিত করতে, গেস্ট ট্রাফিককে কর্পোরেট রিসোর্স, POS সিস্টেম এবং IoT নেটওয়ার্ক থেকে সম্পূর্ণ আলাদা রাখতে হবে।

১. UniFi Network Application-এ Settings > Networks-এ যান। ২. Create New Network-এ ক্লিক করুন। ৩. নেটওয়ার্ক সেটিংস নিম্নরূপ কনফিগার করুন: * Name: Purple Guest Network * VLAN ID: 90 (অথবা যেকোনো ডেডিকেটেড গেস্ট VLAN ট্যাগ) * Network Type: Guest (এটি স্বয়ংক্রিয়ভাবে ক্লায়েন্ট আইসোলেশন প্রয়োগ করে, যা গেস্ট-টু-গেস্ট যোগাযোগ প্রতিরোধ করে)। * Gateway IP/Subnet: একটি উপযুক্ত সাবনেট কনফিগার করুন (যেমন, সর্বাধিক ১০২২টি সমবর্তী গেস্ট লিজ সমর্থন করতে 10.90.0.1/22)। * DHCP Range: DHCP সক্ষম করুন এবং রেঞ্জটি নির্ধারণ করুন (যেমন, 10.90.0.10 থেকে 10.90.3.254)। * DNS Server: দ্রুত DNS রেজোলিউশন নিশ্চিত করতে নির্ভরযোগ্য পাবলিক রিজলভার সেট করুন (যেমন, Cloudflare 1.1.1.1 এবং Google 8.8.8.8)।

ধাপ ২: গেস্ট SSID কনফিগারেশন

১. Settings > WiFi-এ যান এবং Create New WiFi Network-এ ক্লিক করুন। ২. SSID প্যারামিটারগুলি কনফিগার করুন: * Name (SSID): Purple Guest WiFi * Security Protocol: Open (Captive Portal প্রমাণীকরণ পরিচালনা করবে)। * Network: ধাপ ১-এ তৈরি করা Purple Guest Network (VLAN 90) নির্বাচন করুন। * Client Device Isolation: এটি ON করা আছে তা নিশ্চিত করুন। ৩. নিচে স্ক্রোল করে Hotspot Portal-এ যান এবং Enable Captive Portal বক্সটি চেক করুন।

ধাপ ৩: External Portal Server কনফিগার করা

Hotspot Portal সক্ষম হয়ে গেলে, আপনাকে প্রমাণীকরণ Purple-এর সুরক্ষিত ক্লাউড সার্ভারে রিডাইরেক্ট করতে হবে।

১. Settings > Profiles > Guest Hotspot (অথবা পুরনো কন্ট্রোলার সংস্করণে Settings > Guest Control)-এ যান। ২. Authentication-এর অধীনে, External Portal Server নির্বাচন করুন। ৩. নিম্নলিখিত ক্ষেত্রগুলি কনফিগার করুন: * IP / FQDN: Purple দ্বারা প্রদত্ত FQDN লিখুন (যেমন, portal.purplehotspot.com)। * Use Secure Portal (HTTPS): ON করুন (নিরাপত্তা এবং আধুনিক ব্রাউজার সামঞ্জস্যের জন্য বাধ্যতামূলক)। * Redirect Using Hostname: ON করুন এবং FQDN portal.purplehotspot.com লিখুন। * Port: 443 (স্ট্যান্ডার্ড HTTPS)। * HTTPS Redirection: ON করুন (এটি AP-কে প্রাথমিক HTTPS অনুরোধগুলি আটকাতে এবং সেগুলি রিডাইরেক্ট করতে দেয়, তবে এর জন্য সতর্ক DNS ব্যবস্থাপনা প্রয়োজন)।

ধাপ ৪: Pre-Authorization Access (Walled Garden) কনফিগার করা

অপ্রমাণিত গেস্টদের Purple স্প্ল্যাশ পেজ লোড করতে এবং তৃতীয় পক্ষের IdP-এর মাধ্যমে প্রমাণীকরণ করার অনুমতি দিতে, Settings > Profiles > Guest Hotspot > Pre-Authorization Access-এর অধীনে Pre-Authorization Access তালিকায় নিম্নলিখিত ডোমেন এবং IP রেঞ্জগুলি যোগ করুন:

[
  "portal.purplehotspot.com",
  "*.purple.ai",
  "*.purplehotspot.com",
  "accounts.google.com",
  "ssl.gstatic.com",
  "*.googleapis.com",
  "*.facebook.com",
  "*.facebook.net",
  "*.fbcdn.net",
  "*.apple.com",
  "captive.apple.com",
  "connectivitycheck.gstatic.com",
  "*.microsoft.com",
  "*.live.com"
]

বিশেষ দ্রষ্টব্য: Stripe পেমেন্ট প্রসেসিং ব্যবহার করে এমন ডেপ্লয়মেন্টের জন্য, প্রি-অথরাইজেশন তালিকায় *.stripe.com এবং *.stripe.network যোগ করুন।

ধাপ ৫: API হ্যান্ডশেক স্থাপন করা

Purple-এর অতিথি ব্যবহারকারীদের অথরাইজ করার জন্য, এর ক্লাউড সার্ভারগুলিকে অবশ্যই আপনার UniFi Network Application-এর সাথে যোগাযোগ করতে হবে।

UniFi Network Application ৯.১ এবং পরবর্তী সংস্করণের জন্য (প্রস্তাবিত REST API)

১. UniFi কন্ট্রোলারে, Settings > Control Plane > Integrations-এ যান। ২. API Keys বিভাগের অধীনে, Generate New API Key-এ ক্লিক করুন। ৩. একটি নাম দিন (যেমন, Purple Integration Key) এবং পারমিশন Administrator হিসেবে সেট করুন। ৪. জেনারেট করা API Key-টি কপি করুন। ৫. আপনার Purple Portal-এ লগ ইন করুন, Venue Settings > Integration > Ubiquiti UniFi-এ যান এবং আপনার UniFi কন্ট্রোলারের পাবলিক FQDN (যেমন, unifi.yourdomain.com:443) এর সাথে API Key-টি পেস্ট করুন।

লেগ্যাসি কন্ট্রোলারের জন্য (শংসাপত্র-ভিত্তিক API)

১. Settings > System > Admins-এ যান। ২. একটি ডেডিকেটেড লোকাল অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট তৈরি করুন (যেমন, purple_api)। ৩. Administrator বা Hotspot Operator প্রিভিলেজ বরাদ্দ করুন। ৪. একটি শক্তিশালী এবং অনন্য পাসওয়ার্ড কনফিগার করুন। ৫. Purple Portal-এ, UniFi Integration ট্যাবের অধীনে এই শংসাপত্রগুলি লিখুন।

সর্বোত্তম অনুশীলন

১. SSL সার্টিফিকেটের প্রয়োজনীয়তা

প্রোডাকশন UniFi কন্ট্রোলার বা এক্সটার্নাল পোর্টাল সার্ভারে কখনই সেলফ-সাইনড SSL সার্টিফিকেট ব্যবহার করবেন না। আধুনিক ওয়েব ব্রাউজার এবং অপারেটিং সিস্টেমের Captive Portal Assistants (CPAs) কঠোর SSL/TLS ভ্যালিডেশন প্রয়োগ করে। একটি সেলফ-সাইনড সার্টিফিকেট অত্যন্ত দৃশ্যমান নিরাপত্তা সতর্কবার্তা ট্রিগার করবে (যেমন, "Your connection is not private"), যার ফলে ব্যবহারকারীদের ফিরে যাওয়ার হার বৃদ্ধি পাবে এবং ব্র্যান্ডের ক্ষতি হবে।

  • UniFi কন্ট্রোলারের FQDN-এ একটি বৈধ, পাবলিকলি বিশ্বস্ত SSL সার্টিফিকেট (যেমন, Let's Encrypt বা বাণিজ্যিক CA সার্টিফিকেট) ডেপ্লয় করুন।
  • নিশ্চিত করুন যে কন্ট্রোলারের FQDN ইন্টারনাল গেস্ট VLAN এবং পাবলিক ইন্টারনেট উভয় দিক থেকেই সঠিকভাবে রিজলভ হচ্ছে।

২. DNS কনফিগারেশন

ধীরগতির DNS রেজোলিউশন হলো ক্যাশিয়েটিভ পোর্টাল রিডাইরেকশনে মন্থরতার প্রাথমিক কারণ।

  • গেটের ডোমেন নেম সিস্টেম (DNS)-কে UniFi গেটওয়ের লোকাল আইপিতে নির্দেশ করবেন না, যদি না গেটওয়েতে উচ্চ-ক্ষমতাসম্পন্ন DNS ফরওয়ার্ডিং কনফিগার করা থাকে।
  • এর পরিবর্তে, সরাসরি ক্লায়েন্টদের কাছে দ্রুত এবং স্থিতিস্থাপক পাবলিক DNS সার্ভার বিতরণ করতে গেস্ট DHCP স্কোপ কনফিগার করুন (যেমন, প্রাইমারি: 1.1.1.1, সেকেন্ডারি: 8.8.8.8)।

৩. RADIUS গেস্ট WiFi কনফিগারেশন (এন্টারপ্রাইজ বিকল্প)

যেসব ভেন্যুতে ওয়েব পোর্টালসহ একটি ওপেন SSID-এর পরিবর্তে সার্টিফিকেট-ভিত্তিক বা ক্রেডেনশিয়াল-ভিত্তিক 802.1X নিরাপত্তার প্রয়োজন হয়, সেগুলোর জন্য UniFi এক্সটার্নাল ক্লাউড RADIUS ইন্টিগ্রেশন সমর্থন করে [6]।

  • Settings > Profiles > RADIUS-এর অধীনে একটি RADIUS Profile কনফিগার করুন।
  • Purple দ্বারা প্রদত্ত প্রাইমারি এবং সেকেন্ডারি RADIUS সার্ভার আইপি এবং শেয়ার্ড সিক্রেটগুলি লিখুন।* রিয়েল-টাইম সেশন ট্র্যাকিং নিশ্চিত করতে RADIUS Accounting সক্রিয় করুন এবং Interim Update Interval-টি 300 সেকেন্ডে সেট করুন।
  • SSID সেটিংসের অধীনে, সিকিউরিটি প্রোটোকলটি WPA2 Enterprise বা WPA3 Enterprise [7] এ সেট করুন এবং RADIUS প্রোফাইলটি নির্বাচন করুন।

comparison_chart.png

সমস্যা সমাধান এবং ঝুঁকি প্রশমন

এক্সটার্নাল Captive Portal ডেপ্লয় করার সময়, নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা প্রায়শই কিছু সাধারণ সমস্যার সম্মুখীন হন। নিচের টেবিলে এই সমস্যাগুলো, সেগুলোর মূল কারণ এবং সঠিক সমাধানের পদক্ষেপগুলো বিস্তারিতভাবে দেওয়া হয়েছে:

লক্ষণ মূল কারণ বিশ্লেষণ সংশোধনমূলক ব্যবস্থা এবং প্রশমন
হোয়াইট স্ক্রিন / পোর্টাল লোড হতে ব্যর্থ হচ্ছে ক্লায়েন্ট ডিভাইসটি এক্সটার্নাল পোর্টাল সার্ভারের FQDN রিসলভ করতে বা পৌঁছাতে পারছে না। 1. যাচাই করুন যে portal.purplehotspot.com প্রাক-অনুমোদন অ্যাক্সেস (Pre-Authorization Access) তালিকায় রয়েছে কিনা।
2. গেস্ট ক্লায়েন্ট যাতে DHCP-এর মাধ্যমে একটি বৈধ IP এবং DNS সার্ভার পেয়েছে তা নিশ্চিত করুন।
3. পোর্টাল FQDN-এর রেজোলিউশন যাচাই করতে ক্লায়েন্ট ডিভাইসে একটি DNS লুকআপ করুন।
"Connection Not Private" SSL ত্রুটি UniFi কন্ট্রোলারটি একটি সেল্ফ-সাইনড সার্টিফিকেট ব্যবহার করছে, অথবা রিডাইরেকশন FQDN-টি SSL সার্টিফিকেটের কমন নামের সাথে মিলছে না। 1. UniFi কন্ট্রোলারে একটি পাবলিকলি ট্রাস্টেড SSL সার্টিফিকেট ইনস্টল করুন।
2. যাচাই করুন যে Redirect Using Hostname সক্রিয় করা আছে এবং সেটি সার্টিফিকেটের FQDN-এর সাথে হুবহু মিলছে কিনা।
3. AP যাতে পোর্ট 443-এ HTTPS ট্র্যাফিক ইন্টারসেপ্ট করার চেষ্টা না করে (যা স্বাভাবিকভাবেই SSL সতর্কতা সৃষ্টি করে) তা প্রতিরোধ করতে UniFi গেস্ট কন্ট্রোল সেটিংসে "Redirect HTTPS" নিষ্ক্রিয় করুন।
অথেন্টিকেশন সফল হয়েছে, কিন্তু ইন্টারনেট ব্লক করা আছে Purple ক্লাউড ব্যবহারকারীকে অথেন্টিকেট করতে পেরেছে, কিন্তু UniFi কন্ট্রোলারে ক্লায়েন্টের MAC অ্যাড্রেস অনুমোদিত করার API কলটি ব্যর্থ হয়েছে। 1. Purple-এর IP রেঞ্জ থেকে UniFi কন্ট্রোলারে পোর্ট 443 (অথবা লেগ্যাসির জন্য 8443) ইনবাউন্ড খোলা আছে কিনা তা নিশ্চিত করতে ফায়ারওয়াল নিয়মগুলো পরীক্ষা করুন।
2. Purple পোর্টালে দেওয়া API কী বা স্থানীয় অ্যাডমিন ক্রেডেনশিয়ালগুলো বৈধ এবং অ্যাডমিনিস্ট্রেটর পারমিশন রয়েছে কিনা তা যাচাই করুন।
3. API অথেন্টিকেশন ব্যর্থতার জন্য UniFi কন্ট্রোলার লগ (server.log) পরীক্ষা করুন।
সোশ্যাল লগইন (যেমন, Google) বোতাম কাজ করছে না IdP-এর অথেন্টিকেশন ডোমেনগুলো AP-এর অ্যাক্সেস কন্ট্রোল তালিকা দ্বারা ব্লক করা রয়েছে। 1. নির্দিষ্ট IdP-এর জন্য সম্পূর্ণ ওয়াইল্ডকার্ড ডোমেনগুলো প্রাক-অনুমোদন অ্যাক্সেস (Pre-Authorization Access) তালিকায় যুক্ত করুন (যেমন, *.google.com, *.googleapis.com)।
2. Facebook ব্যবহার করলে, Facebook SDK ডোমেনগুলো সম্পূর্ণভাবে হোয়াইটলিস্ট করা আছে কিনা তা নিশ্চিত করুন।
বারংবার সংযোগ বিচ্ছিন্ন হওয়া / পুনঃ-অনুমোদন প্রম্পট UniFi Controller সেশনের সময়সীমা Purple সেশনের স্থায়িত্বকালের চেয়ে কম, অথবা DHCP লিজের সময়কাল খুব ছোট। ১. UniFi Guest Hotspot Session Timeout সেটিংসটিকে Purple সেশন পলিসির সাথে সামঞ্জস্যপূর্ণ করুন (যেমন, ২৪ ঘণ্টা)।
২. আইপি অ্যাড্রেস শেষ হওয়া এবং সেশনের মাঝামাঝি সময়ে পুনরায় অনুমোদন এড়াতে Guest VLAN-এ DHCP লিজের সময়কাল বাড়িয়ে অন্তত ১২ বা ২৪ ঘণ্টা করুন।

ROI এবং ব্যবসায়িক প্রভাব

একটি বাহ্যিক captive portal স্থাপন করার জন্য সতর্কতামূলক নেটওয়ার্ক ইঞ্জিনিয়ারিংয়ের প্রয়োজন হলেও, ব্যবসায়িক ফলাফল এবং বিনিয়োগের বিপরীতে লাভ (ROI) প্রাথমিক বাস্তবায়নের জটিলতাকে বহুলাংশে ছাড়িয়ে যায়।

এন্টারপ্রাইজ ডাটা ক্যাপচার এবং CRM সমৃদ্ধকরণ

নেটিভ UniFi গেস্ট পোর্টাল হলো একটি "ব্লাইন্ড" ইউটিলিটি; এটি ব্যবহারকারীর পরিচয় ধারণ না করেই ইন্টারনেট অ্যাক্সেস প্রদান করে। এর ওপর Purple যুক্ত করার মাধ্যমে, ভেন্যুগুলো সম্পূর্ণ GDPR এবং CCPA-সম্মত উপায়ে মূল্যবান ফার্স্ট-পার্টি ডাটা (ইমেল, ফোন নম্বর, সোশ্যাল প্রোফাইল) ক্যাপচার করতে পারে। এই ডাটা স্বয়ংক্রিয়ভাবে রিয়েল-টাইমে CRM সিস্টেম, মার্কেটিং প্ল্যাটফর্ম (যেমন, Salesforce, HubSpot, Mailchimp) এবং লয়্যালটি প্রোগ্রামের সাথে সিঙ্ক্রোনাইজ করা হয়, যা অত্যন্ত লক্ষ্যভিত্তিক মার্কেটিং ক্যাম্পেইন পরিচালনা করতে সাহায্য করে, যা বারবার ভিজিট এবং কাস্টমারের আজীবন মূল্য বৃদ্ধি করে।

মাল্টি-সাইট ম্যানেজমেন্ট এবং হোয়াইট-লেবেলিং

ম্যানেজড সার্ভিস প্রোভাইডার (MSPs) এবং মাল্টি-সাইট এন্টারপ্রাইজ অপারেটরদের জন্য, শত শত ভেন্যুতে আলাদা আলাদা UniFi কন্ট্রোলারের মাধ্যমে গেস্ট WiFi পরিচালনা করা অত্যন্ত অদক্ষ একটি পদ্ধতি। Purple সমস্ত ভেন্যুতে স্প্ল্যাশ পেজ, কমপ্লায়েন্স টার্মস এবং অ্যানালিটিক্স বিশ্বব্যাপী পরিচালনা করার জন্য একটি একক, কেন্দ্রীভূত ক্লাউড ড্যাশবোর্ড প্রদান করে, যা অন্তর্নিহিত UniFi কন্ট্রোলারের ডিস্ট্রিবিউশন যাই হোক না কেন তা নির্বিশেষে কাজ করে।

রিয়েল-টাইম অ্যানালিটিক্স এবং স্পেশাল ইন্টেলিজেন্স

Purple UniFi ওয়্যারলেস নেটওয়ার্ককে একটি শক্তিশালী সেন্সর অ্যারেতে রূপান্তরিত করে। প্রোব রিকোয়েস্ট এবং কানেকশন মেটাডাটা বিশ্লেষণের মাধ্যমে, Purple গভীর স্পেশাল ইন্টেলিজেন্স প্রদান করে, যার মধ্যে রয়েছে:

  • ফুটফল অ্যানালিটিক্স: মোট ভিজিটর, পাশ দিয়ে চলে যাওয়া ট্রাফিক এবং কনভার্সন রেট (পাশ দিয়ে যাওয়ার পর প্রবেশ করার হার)।
  • ডুয়েল টাইম: ভিজিটের গড় স্থায়িত্বকাল, যা কাস্টমারের ধরন অনুযায়ী (নতুন বনাম ফিরে আসা) বিভক্ত।
  • সাম্প্রতিকতা এবং পুনরাবৃত্তি: কাস্টমাররা কত ঘন ঘন ফিরে আসছেন এবং ভিজিটগুলোর মধ্যবর্তী অতিবাহিত সময়।
  • ভেন্যু হিটম্যাপ: ভিজিটরদের যাতায়াত এবং ঘনত্বের ভিজ্যুয়াল উপস্থাপনা, যা খুচরা বিক্রেতা এবং ভেন্যু অপারেটরদের লেআউট এবং কর্মী পরিচালনা অপ্টিমাইজ করতে সক্ষম করে।

রিটেইল মিডিয়া নেটওয়ার্কের মাধ্যমে মনিটাইজেশন

স্টেডিয়াম, শপিং মল এবং এয়ারপোর্টের মতো বড় ভেন্যুগুলোর জন্য, captive portal-এর স্প্ল্যাশ পেজটি অত্যন্ত মূল্যবান ডিজিটাল রিয়েল এস্টেটের প্রতিনিধিত্ব করে। Purple ভেন্যুগুলোকে এই স্পেসটি মনিটাইজ করার সুবিধা দেয় রিটেইল মিডিয়া নেটওয়ার্কের সাথে যুক্ত হওয়ার মাধ্যমে, যার সাহায্যে কানেকশনের ঠিক মুহূর্তে গেস্টদের কাছে সরাসরি লক্ষ্যভিত্তিক প্রোগ্রাম্যাটিক বিজ্ঞাপন, স্পনসরড লগইন অভিজ্ঞতা এবং স্থানীয় প্রমোশন প্রদর্শন করা যায়।

তথ্যসূত্র

মূল সংজ্ঞাসমূহ

Captive Portal

একটি ওয়েব পেজ যা অতিথির প্রাথমিক নেটওয়ার্ক সংযোগকে বাধা দেয় এবং সম্পূর্ণ ইন্টারনেট অ্যাক্সেস দেওয়ার আগে প্রমাণীকরণ, নিবন্ধন বা শর্তাবলী স্বীকার করার প্রয়োজন হয়।

একটি ওপেন গেস্ট SSID-এর সাথে সংযোগ করার সাথে সাথেই সম্মুখীন হয়; AP রিডাইরেক্টর এবং এক্সটার্নাল পোর্টাল সার্ভার দ্বারা পরিচালিত।

External Portal Server

একটি থার্ড-পার্টি ওয়েব অ্যাপ্লিকেশন (যেমন Purple) যা গেস্ট স্প্ল্যাশ পেজ হোস্ট করে এবং ব্যবহারকারীর প্রমাণীকরণ পরিচালনা করে, বিল্ট-ইন কন্ট্রোলারের পোর্টাল সীমাবদ্ধতা বাইপাস করে।

নেটিভ UniFi ল্যান্ডিং পেজ পরিবর্তন করতে UniFi গেস্ট হটস্পট সেটিংসে কনফিগার করা হয়েছে।

Walled Garden (Pre-Authorization Access)

ডোমেন, সাবডোমেন বা IP অ্যাড্রেসের একটি হোয়াইটলিস্ট যা অপ্রমাণিত ক্লায়েন্টরা Captive Portal লগইন প্রক্রিয়া সম্পন্ন করার আগে অ্যাক্সেস করতে পারে।

পোর্টাল পেজ নিজে, CSS/JS অ্যাসেট এবং থার্ড-পার্টি OAuth লগইন এন্ডপয়েন্ট লোড করার জন্য অপরিহার্য।

DNSmasq

প্রাক-অনুমোদন অবস্থার সময় গেস্ট DNS কোয়েরিগুলিকে ইন্টারসেপ্ট এবং রিডাইরেক্ট করতে UniFi অ্যাক্সেস পয়েন্টগুলিতে স্থানীয়ভাবে চালিত একটি লাইটওয়েট DNS ফরওয়ার্ডার এবং DHCP সার্ভার।

প্রাথমিক DNS রিডাইরেকশন পরিচালনা করে যা ক্লায়েন্ট ডিভাইসগুলিকে তাদের বিল্ট-ইন captive portal সহকারীগুলিকে ট্রিগার করতে বাধ্য করে।

API Authorization Handshake

এমন একটি প্রক্রিয়া যেখানে এক্সটার্নাল পোর্টাল সার্ভার (Purple) একটি ক্লায়েন্ট MAC অ্যাড্রেসকে 'কোয়ারেন্টাইনড' থেকে 'অনুমোদিত' অবস্থায় রূপান্তর করতে UniFi কন্ট্রোলারে একটি সুরক্ষিত API কল করে।

স্প্ল্যাশ পেজে ব্যবহারকারী সফলভাবে লগইন ফ্লো সম্পন্ন করার সাথে সাথেই ঘটে।

Client Device Isolation

একটি নিরাপত্তা বৈশিষ্ট্য যা একই SSID বা VLAN-এ থাকা ওয়্যারলেস ক্লায়েন্টদের একে অপরের সাথে যোগাযোগ করতে বাধা দেয়, যার ফলে স্থানীয় নেটওয়ার্ক আক্রমণের ঝুঁকি হ্রাস পায়।

গেস্টদের গোপনীয়তা রক্ষা করতে এবং ভেন্যুর নেটওয়ার্ক সুরক্ষিত করতে UniFi WiFi এবং নেটওয়ার্ক সেটিংসে সক্ষম করা হয়েছে।

RADSEC (RADIUS over TLS)

একটি প্রোটোকল যা একটি সুরক্ষিত TLS টানেলে মোড়ানোর মাধ্যমে RADIUS প্রমাণীকরণ এবং অ্যাকাউন্টিং ট্র্যাফিক সুরক্ষিত করে, যা পাবলিক নেটওয়ার্কে আড়ি পাতা এবং টেম্পারিং প্রতিরোধ করে।

WPA2/WPA3 এন্টারপ্রাইজ ব্যবহার করে সুরক্ষিত মাল্টি-সাইট এন্টারপ্রাইজ ডিপ্লয়মেন্টের জন্য UniFi নেটওয়ার্ক 8.4+ সংস্করণে সমর্থিত।

CPA (Captive Portal Assistant)

iOS, Android, Windows এবং macOS-এ একটি বিল্ট-ইন অপারেটিং সিস্টেম ইউটিলিটি যা একটি পরিচিত HTTP/HTTPS এন্ডপয়েন্ট আনার চেষ্টা করে স্বয়ংক্রিয়ভাবে একটি captive portal সনাক্ত করে।

সংযোগ করার সাথে সাথেই ব্যবহারকারীর ডিভাইসে 'Sign in to WiFi' পপআপ উইন্ডোটি ট্রিগার করে।

সমাধানকৃত উদাহরণসমূহ

১৫০টি UniFi AP এবং AWS-এ সেলফ-হোস্টেড UniFi নেটওয়ার্ক অ্যাপ্লিকেশন সহ একটি অত্যন্ত জনাকীর্ণ শপিং মলে Purple ডেপ্লয় করতে হবে। আইটি টিম গেস্ট অথেন্টিকেশনের জন্য Google এবং Facebook সোশ্যাল লগইন ব্যবহার করতে চায়। তবে, প্রাথমিক টেস্টিংয়ের সময় সোশ্যাল লগইন বাটনে ক্লিক করলে গেস্টরা একটি ফাঁকা স্ক্রিন অথবা DNS রেজোলিউশন এরর দেখতে পাচ্ছেন।

এই সমস্যাটি একটি সীমাবদ্ধ Walled Garden (Pre-Authorization Access)-এর কারণে ঘটছে, যা অথেন্টিকেট হওয়ার আগে গেস্টের ডিভাইসকে Google এবং Facebook-এর অথেন্টিকেশন এন্ডপয়েন্টগুলি রেজোলিউশন বা অ্যাক্সেস করতে বাধা দেয়। এটি সমাধান করার জন্য, নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরকে UniFi নেটওয়ার্ক অ্যাপ্লিকেশনে লগইন করতে হবে, Settings > Profiles > Guest Hotspot-এ যেতে হবে এবং Pre-Authorization Access সেকশনটি প্রসারিত করতে হবে। তাদের Google এবং Facebook আইডেন্টিটি প্রোভাইডারদের সম্পূর্ণ ওয়াইল্ডকার্ড ডোমেনগুলি যোগ করতে হবে। Google-এর জন্য এর মধ্যে রয়েছে accounts.google.com, ssl.gstatic.com এবং *.googleapis.com। Facebook-এর জন্য প্রয়োজন *.facebook.com, *.facebook.net এবং *.fbcdn.net। অতিরিক্তভাবে, নিশ্চিত করুন যে গেস্ট নেটওয়ার্কের DHCP স্কোপটি লোকাল UniFi গেটওয়ের দিকে নির্দেশ না করে সরাসরি ক্লায়েন্টদের কাছে দ্রুত ও পাবলিক DNS সার্ভার (যেমন, 1.1.1.1 এবং 8.8.8.8) ডিস্ট্রিবিউট করার জন্য কনফিগার করা হয়েছে, কারণ লোকাল গেটওয়ে প্রি-অথরাইজেশন DNS কোয়েরির জন্য একটি বাধা (bottleneck) হয়ে উঠতে পারে।

পরীক্ষকের মন্তব্য: এটি একটি ক্লাসিক 'walled garden gap' ব্যর্থতা। যেহেতু সোশ্যাল লগইন ফ্লো একাধিক সাবডোমেন জুড়ে জটিল OAuth রিডাইরেক্টের উপর নির্ভর করে, তাই একটিমাত্র অ্যাসেট ডেলিভারি ডোমেন (যেমন Facebook-এর CDN `fbcdn.net`) বাদ পড়লে পেজ রেন্ডারিং বন্ধ হয়ে যাবে। নেটওয়ার্ক আর্কিটেক্টদের সর্বদা ওয়াইল্ডকার্ড (`*.domain.com`) ব্যবহার করা উচিত যেখানে কন্ট্রোলার এটি সাপোর্ট করে, এবং হোয়াইটলিস্ট করা ডোমেনগুলির বিরুদ্ধে `nslookup` বা `dig`-এর মতো স্ট্যান্ডার্ড টুল ব্যবহার করে একটি আনঅথরাইজড ক্লায়েন্ট থেকে DNS রেজোলিউশন যাচাই করা উচিত।

একটি MSP ৫০টি বুটিক হোটেলের একটি চেইনে Purple ডেপ্লয় করছে। প্রতিটি হোটেলে সাইটে একটি লোকাল UniFi Cloud Gateway Max রয়েছে। MSP একটি একক Purple অ্যাকাউন্ট থেকে সমস্ত সাইট পরিচালনা করতে চায় কিন্তু নিরাপত্তা এবং কীভাবে Purple-এর ক্লাউড গেস্ট MAC অ্যাড্রেস অথরাইজ করার জন্য প্রতিটি লোকাল কন্ট্রোলারের সাথে যোগাযোগ করবে তা নিয়ে চিন্তিত, কারণ লোকাল গেটওয়েগুলি NAT সহ ডাইনামিক পাবলিক আইপির পেছনে রয়েছে।

সর্বোত্তম আর্কিটেকচারটি ইনবাউন্ড পোর্ট ফরওয়ার্ডিং বা রিভার্স প্রক্সি এবং ডাইনামিক DNS (DDNS) এর সংমিশ্রণে UniFi-এর অফিসিয়াল REST API ব্যবহার করে। প্রতিটি হোটেলের জন্য: ১) Cloud Gateway Max-এ একটি DDNS হোস্টনেম কনফিগার করুন (যেমন, hotel01.mspdomain.com) যাতে গেটওয়ের পাবলিক আইপি সর্বদা ট্র্যাক করা যায়। ২) একটি হাই, নন-স্ট্যান্ডার্ড পোর্টে (যেমন, 10443) ইনবাউন্ড HTTPS ট্রাফিক লোকাল গেটওয়ের ম্যানেজমেন্ট আইপি পোর্ট 443-এ ফরওয়ার্ড করার জন্য গেটওয়েতে একটি পোর্ট ফরওয়ার্ডিং রুল সেট আপ করুন। ৩) UniFi কন্ট্রোলারে, Settings > Control Plane > Integrations-এ যান এবং একটি ইউনিক API Key তৈরি করুন। ৪) Purple পোর্টালে, প্রতিটি হোটেলের জন্য একটি ইউনিক 'Venue' কনফিগার করুন এবং Ubiquiti UniFi ইন্টিগ্রেশন সিলেক্ট করুন। ফরওয়ার্ড করা পোর্ট সহ ইউনিক DDNS অ্যাড্রেস (যেমন, hotel01.mspdomain.com:10443) এবং সেই সাইটের জন্য তৈরি করা নির্দিষ্ট API Key লিখুন। অবশেষে, সোর্স আইপিগুলিকে Purple-এর পাবলিক ক্লাউড আইপি রেঞ্জে সীমাবদ্ধ করে প্রতিটি গেটওয়েতে ইনবাউন্ড পোর্ট ফরওয়ার্ডিং সুরক্ষিত করুন, যা ইন্টারনেটের অন্যান্য অংশ থেকে অননুমোদিত অ্যাক্সেস রোধ করবে।

পরীক্ষকের মন্তব্য: পোর্ট ফরওয়ার্ডিংয়ের জন্য একটি হাই, নন-স্ট্যান্ডার্ড পোর্ট ব্যবহার করা এবং শুধুমাত্র Purple-এর ক্লাউড আইপি ব্লকগুলিকে অনুমতি দেওয়ার জন্য কঠোর সোর্স আইপি হোয়াইটলিস্টিংয়ের মাধ্যমে পাবলিক ইন্টারনেটে কন্ট্রোলারের API পোর্ট এক্সপোজ করার নিরাপত্তা ঝুঁকি হ্রাস করা যায়। এই আর্কিটেকচারটি প্রতিটি সাইটে ব্যয়বহুল স্ট্যাটিক পাবলিক আইপির প্রয়োজনীয়তা এড়ায় এবং একই সাথে শক্তিশালী, রিয়েল-টাইম MAC অথরাইজেশন ক্ষমতা বজায় রাখে।

অনুশীলনী প্রশ্নসমূহ

Q1. একজন নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর একটি UniFi গেস্ট নেটওয়ার্কে একটি এক্সটার্নাল captive portal কনফিগার করেছেন। পরীক্ষার সময়, তারা লক্ষ্য করেন যে captive portal স্প্ল্যাশ পেজটি সফলভাবে লোড হয়েছে, কিন্তু গেস্ট তাদের ইমেল ঠিকানা ইনপুট করে 'Connect' এ ক্লিক করার পরে, ব্রাউজারটি হ্যাং হয়ে যায় এবং অবশেষে একটি টাইমআউট ত্রুটি দেখায়। ক্লায়েন্টটি কোয়ারেন্টাইনড অবস্থায় থাকে। এই সমস্যার সবচেয়ে সম্ভাব্য কারণ কী এবং এটি কীভাবে তদন্ত করা উচিত?

ইঙ্গিত: পোর্টাল পেজটি লোড হয়েছে, যার মানে DNS এবং walled garden কাজ করছে। গেস্ট তাদের শংসাপত্র জমা দেওয়ার *পরে* ত্রুটিটি ঘটে।

মডেল উত্তর দেখুন

সবচেয়ে সম্ভাব্য কারণটি হলো Purple ক্লাউড এবং UniFi Controller-এর মধ্যে API অথরাইজেশন হ্যান্ডশেক ব্যর্থ হয়েছে। যেহেতু পোর্টাল পৃষ্ঠাটি লোড হয়েছে এবং গেস্ট এটির সাথে ইন্টারঅ্যাক্ট করতে পেরেছেন, তাই DNS এবং Pre-Authorization Access (Walled Garden) কনফিগারেশনগুলো সঠিক আছে। তবে, গেস্ট যখন অথেন্টিকেশন সম্পন্ন করেন, তখন Purple ক্লায়েন্টের MAC অ্যাড্রেস অথরাইজ করার জন্য UniFi Controller-এ একটি সুরক্ষিত REST API কল (POST রিকোয়েস্ট) পাঠানোর চেষ্টা করে। যদি UniFi Controller কোনো ফায়ারওয়াল, NAT-এর পেছনে বা সঠিক পোর্ট ফরওয়ার্ডিং ছাড়া কোনো প্রাইভেট নেটওয়ার্কে থাকে, অথবা যদি API ক্রেডেন্সিয়াল (বা API Key) ভুল হয়, তাহলে অথরাইজেশন রিকোয়েস্টটি ব্যর্থ হবে বা টাইম আউট হবে। এটি তদন্ত করতে: ১) নিশ্চিত করুন যে UniFi Controller-এর FQDN এবং পোর্ট Purple-এর IP রেঞ্জ থেকে পাবলিকলি অ্যাক্সেসযোগ্য। ২) UniFi Controller-কে সুরক্ষিত রাখা গেটওয়েতে ইনবাউন্ড ফায়ারওয়াল নিয়মগুলো পরীক্ষা করে নিশ্চিত করুন যে পোর্ট ৪৪৩ (বা ৮৪৪৩) খোলা আছে। ৩) Purple পোর্টাল-এ যাচাই করুন যে UniFi ইন্টিগ্রেশন সেটিংসে সঠিক API Key বা অ্যাডমিনিস্ট্রেটর ক্রেডেন্সিয়াল রয়েছে এবং কন্ট্রোলার URL-টি সঠিক। ৪) Purple-এর IP থেকে কোনো ইনকামিং কানেকশন চেষ্টা বা API অথেন্টিকেশন ত্রুটি আছে কিনা তা দেখতে UniFi Controller-এর server.log ফাইলটি পরীক্ষা করুন।

Q2. একটি এন্টারপ্রাইজ ডেপ্লয়মেন্টের জন্য একটি এক্সটার্নাল Captive Portal সহ গেস্ট নেটওয়ার্ক সেট আপ করা প্রয়োজন। নেটওয়ার্ক আর্কিটেক্ট ক্রেডেন্সিয়াল স্নিফিং প্রতিরোধ করতে সমস্ত Captive Portal ট্রাফিকের জন্য HTTPS ব্যবহার করতে চান। তারা UniFi-তে 'Use Secure Portal (HTTPS)' এবং 'Redirect Using Hostname' সক্ষম করেন, যা এক্সটার্নাল পোর্টাল FQDN-কে নির্দেশ করে। তবে, ক্লায়েন্টরা যখন কানেক্ট করে, তাদের ব্রাউজারগুলো অবিলম্বে একটি গুরুতর 'SSL Certificate Common Name Mismatch' বা 'Certificate Not Trusted' সতর্কতা প্রদর্শন করে অ্যাক্সেস ব্লক করে দেয়। এটি কীভাবে সমাধান করা যেতে পারে?

ইঙ্গিত: কোন ডিভাইসটি প্রাথমিক রিডাইরেক্ট পাঠাচ্ছে এবং এটি ক্লায়েন্টকে কী SSL সার্টিফিকেট প্রদর্শন করছে তা নিয়ে চিন্তা করুন।

মডেল উত্তর দেখুন

এই সমস্যাটি ঘটে কারণ UniFi Access Point বা Controller ক্লায়েন্ট থেকে একটি HTTPS রিকোয়েস্ট ইন্টারসেপ্ট করার এবং সেটিকে Captive Portal-এ রিডাইরেক্ট করার চেষ্টা করছে। যখন কোনো ক্লায়েন্ট কানেক্ট করে একটি HTTPS ওয়েবসাইট (যেমন- https://www.google.com) ভিজিট করার চেষ্টা করে, তখন AP-এর রিডাইরেক্টর ট্রাফিকটি ইন্টারসেপ্ট করে। HTTPS-এর মাধ্যমে রিডাইরেক্ট করতে, AP-কে অবশ্যই একটি SSL সার্টিফিকেট প্রদর্শন করতে হবে। যেহেতু AP-এর কাছে www.google.com-এর জন্য কোনো বৈধ SSL সার্টিফিকেট নেই, তাই ক্লায়েন্টের ব্রাউজার একটি Man-in-the-Middle (MITM) অবস্থা শনাক্ত করে এবং একটি গুরুতর SSL সতর্কতা দেখায়। এটি সমাধান করতে: ১) নিশ্চিত করুন যে UniFi Controller-এর নিজস্ব কনফিগার করা FQDN-এর সাথে মিল রেখে একটি বৈধ, পাবলিকলি ট্রাস্টেড SSL সার্টিফিকেট ইনস্টল করা আছে। ২) UniFi গেস্ট নেটওয়ার্ক সেটিংসে, 'Redirect HTTPS' নিষ্ক্রিয় করুন (শুধুমাত্র HTTP রিডাইরেকশন সক্ষম রাখুন)। এটি AP-কে HTTPS ট্রাফিক ইন্টারসেপ্ট করার চেষ্টা থেকে বিরত রাখে। এর পরিবর্তে, নেটওয়ার্কটি ক্লায়েন্ট ডিভাইসের অপারেটিং সিস্টেমের Captive Portal Assistant (CPA)-এর ওপর নির্ভর করবে, যা সাধারণ HTTP এন্ডপয়েন্ট (যেমন- http://captive.apple.com বা http://connectivitycheck.gstatic.com) ব্যবহার করে কানেক্টিভিটি পরীক্ষা করে। AP কোনো ব্রাউজার SSL সতর্কতা ট্রিগার না করেই পোর্ট ৮০-তে এই HTTP রিকোয়েস্টগুলো নিরাপদে ইন্টারসেপ্ট করতে পারে এবং সেগুলোকে Purple পোর্টালের সুরক্ষিত HTTPS URL-এ (https://portal.purplehotspot.com) রিডাইরেক্ট করতে পারে।

Q3. একটি হোটেল চেইন তাদের VIP গেস্ট নেটওয়ার্কের জন্য WPA3-Enterprise সিকিউরিটি ডেপ্লয় করতে চায় এবং একই সাথে Purple-এর অ্যানালিটিক্স প্ল্যাটফর্মের সাথে ইন্টিগ্রেশন বজায় রাখতে চায়। স্থানীয় IT টিম নিশ্চিত নয় যে তারা WPA3-Enterprise-এর সাথে স্ট্যান্ডার্ড External Portal Server Captive Portal রিডাইরেকশন ব্যবহার করতে পারবে কিনা। এই সিনারিওটির জন্য সঠিক আর্কিটেকচারাল পদ্ধতি কী?

ইঙ্গিত: WPA3-Enterprise 802.1X অথেন্টিকেশন ব্যবহার করে, যা অ্যাসোসিয়েশন পর্বে ঘটে, আইপি অ্যাড্রেস অ্যাসাইন করার আগে। এটি Captive Portal সহ একটি ওপেন SSID থেকে সম্পূর্ণ ভিন্ন।

মডেল উত্তর দেখুন

WPA3-Enterprise (এবং WPA2-Enterprise) 802.1X প্রমাণীকরণ ব্যবহার করে, যা স্ট্যান্ডার্ড Captive Portal ওয়েব রিডাইরেকশনের সাথে সম্পূর্ণ অসঙ্গতিপূর্ণ। একটি 802.1X নেটওয়ার্কে, ক্লায়েন্টকে একটি IP অ্যাড্রেস বরাদ্দ করার আগে বা নেটওয়ার্কে প্রবেশের অনুমতি দেওয়ার আগে অ্যাসোসিয়েশন পর্বে (Layer 2) EAP পদ্ধতি (যেমন EAP-TLS বা PEAP) ব্যবহার করে প্রমাণীকরণ ঘটে। তাই, আপনি কোনো ক্লায়েন্টকে একটি ওয়েব-ভিত্তিক স্প্ল্যাশ পেজে রিডাইরেক্ট করতে পারবেন না। Purple-এর সাথে WPA3-Enterprise ইন্টিগ্রেট করতে: ১) 'External Portal Server' মডেল থেকে একটি External RADIUS মডেলে স্থানান্তর করুন। ২) UniFi Network Application-এ একটি RADIUS Profile কনফিগার করুন, যেখানে Purple-এর Cloud RADIUS সার্ভার IP অ্যাড্রেস, প্রমাণীকরণ পোর্ট (সাধারণত 1812), অ্যাকাউন্টিং পোর্ট (সাধারণত 1813) এবং শেয়ার্ড সিক্রেট লিখুন। ৩) RADIUS Accounting সক্ষম করুন এবং একটি Interim Update Interval ৩০০ সেকেন্ড সেট করুন। ৪) VIP SSID-টিকে WPA3 Enterprise ব্যবহার করতে কনফিগার করুন এবং RADIUS Profile নির্বাচন করুন। যখন কোনো VIP অতিথি সংযুক্ত হন, তখন তাদের ডিভাইস তাদের অনন্য এন্টারপ্রাইজ শংসাপত্র বা সার্টিফিকেট ব্যবহার করে সরাসরি Purple-এর Cloud RADIUS সার্ভারের সাথে প্রমাণীকরণ করে। Purple-এর RADIUS সার্ভার সংযোগটি অনুমোদন করে এবং অ্যাকাউন্টিং আপডেটগুলি গ্রহণ করে, যা ভেন্যুকে কোনো ওয়েব-ভিত্তিক স্প্ল্যাশ পেজের প্রয়োজন ছাড়াই কানেকশন অ্যানালিটিক্স, সেশন এবং ডেটা ব্যবহারের সময়কাল ক্যাপচার করার অনুমতি দেয়।

এই সিরিজে পড়া চালিয়ে যান

Purple WiFi-এর সাথে CommScope Ruckus ইন্টিগ্রেশন: সেটআপ এবং কনফিগারেশন গাইড

এই টেকনিক্যাল রেফারেন্স গাইডটি Purple WiFi-এর সাথে CommScope Ruckus আর্কিটেকচার ইন্টিগ্রেট করার জন্য একটি নির্ভরযোগ্য কনফিগারেশন প্লেবুক প্রদান করে। এটি গেস্ট WiFi Captive Portal, 802.1X-এর মাধ্যমে সিকিউর স্টাফ WiFi এবং Ruckus ডাইনামিক PSK ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক আইসোলেশনের জন্য ধাপে ধাপে ডেপ্লয়মেন্টের বিবরণ দেয়।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Allied Telesis Access Points ইন্টিগ্রেশন

এই গাইডটি Purple WiFi-এর সাথে Allied Telesis TQ-Series access points ইন্টিগ্রেট করার জন্য একটি ব্যাপক কনফিগারেশন প্লেবুক প্রদান করে। এটি নিরাপদ মাল্টি-টেন্যান্ট ডেপ্লয়মেন্টের জন্য এক্সটার্নাল Captive Portal রিডাইরেকশন, 802.1X RADIUS অথেন্টিকেশন এবং প্রাইভেট প্রি-শেয়ার্ড কি (PPSK) ব্যবহার করে ডাইনামিক VLAN স্টিয়ারিং কভার করে।

গাইডটি পড়ুন →

Purple WiFi-এর সাথে Grandstream GWN Access Points-এর ইন্টিগ্রেশন

এই নির্ভরযোগ্য প্রযুক্তিগত রেফারেন্স গাইডটিতে Grandstream GWN access points-এর সাথে Purple-এর Guest WiFi এবং অ্যানালিটিক্স প্ল্যাটফর্ম কীভাবে ইন্টিগ্রেট করতে হয় তা বিস্তারিতভাবে আলোচনা করা হয়েছে। এতে Grandstream captive portal কনফিগারেশন, RADIUS AAA সেটিংস, walled garden সেটআপ, ডাইনামিক VLAN স্টিয়ারিং সহ সুরক্ষিত স্টাফ 802.1X অথেন্টিকেশন এবং মাল্টি-টেন্যান্ট PPSK সেগমেন্টেশন অন্তর্ভুক্ত রয়েছে - যা স্কেলে গেস্ট এবং স্টাফ WiFi স্থাপনকারী MSP এবং IT টিমগুলোর জন্য কার্যকর, ধাপে ধাপে নির্দেশিকা প্রদান করে।

গাইডটি পড়ুন →