Mikrotik RouterOS এবং গেস্ট WiFi: Purple এর সাথে captive portal সেটআপ

MikroTik RouterOS Captive Portal এবং Purple WiFi ইন্টিগ্রেশন গাইড - পডকাস্ট স্ক্রিপ্ট [ইন্ট্রো - আনুমানিক ১ মিনিট] আপনাকে স্বাগত। আপনি যদি কোনো হোটেল, রিটেইল চেইন, স্টেডিয়াম বা কনফারেন্স সেন্টারে WiFi অবকাঠামো পরিচালনা করেন এবং MikroTik RouterOS ব্যবহার করে থাকেন, তবে এই এপিসোডটি আপনারই জন্য। আমি আপনাকে দেখাব কীভাবে ঠিকঠাকভাবে MikroTik-এর Hotspot Gateway-কে Purple-এর গেস্ট WiFi প্ল্যাটফর্মের সাথে ইন্টিগ্রেট করবেন - যেখানে তিনটি ভিন্ন ব্যবহারের ক্ষেত্র কভার করা হবে: একটি captive portal এবং walled garden সহ গেস্ট WiFi, 802.1X ব্যবহার করে সুরক্ষিত স্টাফ WiFi এবং MikroTik-এর Private Pre-Shared Key ফিচার ব্যবহার করে মাল্টি-টেন্যান্ট নেটওয়ার্ক সেগ্রিগেশন। এটি কোনো তাত্ত্বিক ওভারভিউ নয়। এর শেষ নাগাদ, এই সেটআপগুলি নিজেই ডিপ্লয় বা অডিট করার জন্য প্রয়োজনীয় নির্দিষ্ট CLI কমান্ড, RADIUS অ্যাট্রিবিউট এবং কনফিগারেশন লজিক আপনার হাতে থাকবে। চলুন শুরু করা যাক। [টেকনিক্যাল ডিপ-ডাইভ - আনুমানিক ৫ মিনিট] পার্ট ওয়ান: গেস্ট WiFi এবং MikroTik captive portal। MikroTik-এর Hotspot Gateway হলো RouterOS-এ গেস্ট WiFi রিডাইরেকশনের পেছনের ইঞ্জিন। যখন কোনো ভিজিটর আপনার গেস্ট SSID-এ কানেক্ট করেন, তখন Hotspot Gateway তাদের HTTP ট্রাফিক ইন্টারসেপ্ট করে এবং একটি স্প্ল্যাশ পেজে রিডাইরেক্ট করে - যা আপনার captive portal। Purple সেই স্প্ল্যাশ পেজটি হোস্ট করে। আপনার MikroTik রাউটারটি Hotspot Gateway এবং RADIUS ক্লায়েন্ট হিসেবে কাজ করে। Purple-এর প্ল্যাটফর্ম কাজ করে RADIUS সার্ভার হিসেবে। এটি যেভাবে সেটআপ করবেন তা এখানে দেওয়া হলো। প্রথমে, Winbox-এর IP মেনু থেকে অথবা CLI-এর মাধ্যমে Hotspot Setup উইজার্ডটি চালান। আপনি এটিকে আপনার গেস্ট-ফেসিং ইন্টারফেসে অ্যাসাইন করবেন - যা সাধারণত একটি VLAN ইন্টারফেস বা একটি ব্রিজ পোর্ট। আপনার লোকাল অ্যাড্রেস পুল সেট করুন, আপনার DNS সার্ভার কনফিগার করুন এবং হটস্পটটিকে একটি DNS নাম দিন। অথেনটিকেট করার আগে গেস্টরা তাদের ব্রাউজারে এই DNS নামটিই দেখতে পান। উইজার্ডটি সম্পূর্ণ হয়ে গেলে, আপনাকে হটস্পট প্রোফাইলটিকে Purple-এর RADIUS সার্ভারের দিকে পয়েন্ট করতে হবে। CLI-তে এটি দেখতে এইরকম হবে: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 এরপর হটস্পট প্রোফাইলে RADIUS এনাবল করুন: /ip hotspot profile set default use-radius=yes আপনি যখন Purple ড্যাশবোর্ডে আপনার ভেন্যু সেটআপ করবেন, তখন Purple আপনাকে RADIUS আইপি অ্যাড্রেস, শেয়ার্ড সিক্রেট এবং স্প্ল্যাশ পেজ URL প্রদান করবে। এখন আসি walled garden-এ। এটি অত্যন্ত গুরুত্বপূর্ণ। কোনো গেস্ট অথেনটিকেট করার আগে, তাদের ডিভাইসের Purple-এর স্প্ল্যাশ পেজ এবং আপনি যে সমস্ত OAuth প্রোভাইডার ব্যবহার করছেন - যেমন Google, Facebook ইত্যাদি - সেগুলিতে পৌঁছাতে পারার প্রয়োজন রয়েছে। walled garden এন্ট্রি ছাড়া রিডাইরেক্ট লুপটি ভেঙে যায় এবং গেস্টরা লগইন করতে পারেন না। RouterOS-এ, আপনি IP, Hotspot, Walled Garden-এর অধীনে walled garden এন্ট্রি যোগ করতে পারবেন। আপনাকে Purple-এর স্প্ল্যাশ পেজ ডোমেন, যেকোনো সোশ্যাল লগইন ডোমেন এবং লগইন পেজের অ্যাসেট সরবরাহকারী যেকোনো CDN হোস্ট যোগ করতে হবে। Purple-এর ডকুমেন্টেশনে আপনার অঞ্চলের জন্য সঠিক ডোমেনগুলির তালিকা রয়েছে। সেগুলিকে আইপি এন্ট্রি বা হোস্টনেম এন্ট্রি হিসেবে যোগ করুন - আইপি অ্যাড্রেস পরিবর্তিত হলে হোস্টনেম এন্ট্রিগুলি বেশি স্থিতিস্থাপক হয়।একটি সফল অথেন্টিকেশনের ক্ষেত্রে Purple যে প্রধান RADIUS অ্যাট্রিবিউটগুলো ফেরত পাঠায়, তার মধ্যে রয়েছে সেশন টাইমআউট - যা নিয়ন্ত্রণ করে একজন গেস্ট পুনরায় প্রম্পট পাওয়ার আগে কতক্ষণ কানেক্টেড থাকবেন - এবং ঐচ্ছিক হিসেবে Mikrotik-Rate-Limit ভেন্ডর-নির্দিষ্ট অ্যাট্রিবিউট ব্যবহার করে একটি ব্যান্ডউইথ রেট লিমিট। এর ফলে আপনি রাউটার কনফিগারেশন পরিবর্তন না করেই সরাসরি Purple ড্যাশবোর্ড থেকে প্রতি গেস্ট সেশনে ফেয়ার-ইউজ পলিসি প্রয়োগ করতে পারেন। পার্ট দুই: 802.1X এর মাধ্যমে সুরক্ষিত স্টাফ WiFi। এখানে আপনি শেয়ার করা পাসওয়ার্ডের ব্যবহার পুরোপুরি বন্ধ করে দেবেন। IEEE 802.1X হলো পোর্ট-ভিত্তিক নেটওয়ার্ক অ্যাক্সেস কন্ট্রোলের স্ট্যান্ডার্ড। একটি MikroTik ওয়্যারলেস ইন্টারফেসে আপনি WPA2-Enterprise বা WPA3-Enterprise অথেন্টিকেশন সক্রিয় করেন, যার অর্থ অ্যাক্সেস পয়েন্টটি একটি অথেন্টিকেটর হয়ে ওঠে - এটি স্টাফ ডিভাইস থেকে EAP ক্রেডেনশিয়াল একটি RADIUS সার্ভারে পাঠায়, যা সেগুলো যাচাই করে এবং একটি Access-Accept বা Access-Reject ফেরত দেয়। Purple-এর স্টাফ WiFi প্রোডাক্টটি আইডেন্টিটি প্রোভাইডার হিসেবে Microsoft Entra ID, Okta এবং Google Workspace-এর সাথে ইন্টিগ্রেট করে। যখন একজন স্টাফ মেম্বারের ডিভাইস কানেক্ট হয়, তখন এটি PEAP-MSCHAPv2-এর মাধ্যমে একটি সার্টিফিকেট বা ইউজারনেম এবং পাসওয়ার্ড প্রদান করে। Purple-এর RADIUS সার্ভার রিয়েল টাইমে আপনার আইডেন্টিটি প্রোভাইডারের সাথে সেই ক্রেডেনশিয়াল যাচাই করে। MikroTik-এর দিকে আপনি ওয়্যারলেস সিকিউরিটি প্রোফাইলটি authentication-types-এ wpa2-eap সেট করে কনফিগার করেন এবং service=wireless দিয়ে RADIUS ক্লায়েন্টকে Purple-এর সার্ভারের দিকে নির্দেশ করেন। CAPsMAN-এ - যা হলো MikroTik-এর সেন্ট্রালাইজড অ্যাক্সেস পয়েন্ট ম্যানেজমেন্ট সিস্টেম - আপনি এটি সিকিউরিটি কনফিগারেশন লেভেলে সেট করেন যাতে এটি আপনার সমস্ত ম্যানেজড অ্যাক্সেস পয়েন্ট জুড়ে একইভাবে প্রযোজ্য হয়। অথেন্টিকেটেড স্টাফদের একটি নির্দিষ্ট VLAN-এ রাখার জন্য RADIUS সার্ভার Mikrotik-Wireless-VLANID অ্যাট্রিবিউট ফেরত পাঠাতে পারে। এভাবেই আপনি নেটওয়ার্ক সেগমেন্টেশন প্রয়োগ করেন - ফাইন্যান্স স্টাফরা VLAN 10-এ, অপারেশনস স্টাফরা VLAN 20-এ যুক্ত হন - সবই একটিমাত্র SSID থেকে এবং সম্পূর্ণভাবে আইডেন্টিটি দ্বারা পরিচালিত। অটোমেটিক রিভোকেশনের জন্য - যখন কোনো স্টাফ মেম্বার চলে যান - আপনার আইডেন্টিটি প্রোভাইডারের সাথে Purple-এর ইন্টিগ্রেশনের অর্থ হলো আপনি যখন Entra ID বা Okta-তে অ্যাকাউন্টটি নিষ্ক্রিয় করবেন, তখন পরবর্তী রি-অথেন্টিকেশন প্রচেষ্টা ব্যর্থ হবে এবং ডিভাইসটি ডিসকানেক্ট হয়ে যাবে। কোনো ম্যানুয়াল রাউটার কনফিগারেশন পরিবর্তনের প্রয়োজন নেই। পার্ট তিন: Private Pre-Shared Keys সহ মাল্টি-ট্যানেন্ট WiFi। এই তিনটি পদ্ধতির মধ্যে আর্কিটেকচারালি এটি সবচেয়ে আকর্ষণীয়। Private PSK - যাকে কখনো কখনো PPSK বা iPSK বলা হয় - আপনাকে একটি একক SSID চালানোর সুবিধা দেয় যেখানে প্রতিটি ট্যানেন্ট, রেসিডেন্ট বা ডিভাইস গ্রুপ একটি ইউনিক পাসফ্রেজ দিয়ে কানেক্ট হয় এবং প্রতিটি পাসফ্রেজ একটি ভিন্ন VLAN-এর সাথে ম্যাপ করা থাকে। MikroTik-এ এটি ওয়্যারলেস ইন্টারফেসে MAC-ভিত্তিক RADIUS অথেন্টিকেশনের মাধ্যমে কাজ করে। যখন একটি ডিভাইস কানেক্ট হয়, অ্যাক্সেস পয়েন্টটি ইউজারনেম হিসেবে ডিভাইসের MAC অ্যাড্রেস RADIUS সার্ভারে পাঠায়। RADIUS সার্ভারটি - RouterOS 7-এ MikroTik-এর নিজস্ব User Manager অথবা FreeRADIUS - সেই MAC অ্যাড্রেসটি খুঁজে বের করে এবং দুটি ভেন্ডর-নির্দিষ্ট অ্যাট্রিবিউট ফেরত পাঠায়: Mikrotik-Wireless-Psk, যা হলো প্রতি-ডিভাইস পাসফ্রেজ এবং Mikrotik-Wireless-VLANID, যা ডিভাইসটিকে সঠিক VLAN-এ স্থাপন করে।ওয়্যারলেস সিকিউরিটি প্রোফাইলে radius-mac-authentication সেট করা থাকতে হবে yes হিসেবে, এবং RADIUS ক্লায়েন্টের service=wireless প্রয়োজন। বাস্তবে, ২০০টি অ্যাপার্টমেন্ট বিশিষ্ট একটি বিল্ড-টু-রেন্ট প্রোপার্টির জন্য, বাসিন্দারা যখন চলে আসবেন তখন আপনি Purple-এর প্ল্যাটফর্মে প্রতিটি বাসিন্দার ডিভাইসের MAC অ্যাড্রেস আগে থেকেই রেজিস্টার করে রাখবেন। Purple প্রতিটি MAC-কে একটি ইউনিক PSK এবং সেই অ্যাপার্টমেন্টের নেটওয়ার্ক সেগমেন্টের সাথে সম্পর্কিত একটি VLAN-এর সাথে ম্যাপ করে। বাসিন্দা তাদের অ্যাপার্টমেন্টের পাসফ্রেজ ব্যবহার করে কানেক্ট করেন। তাদের ডিভাইসগুলো একটি আইসোলেটেড VLAN-এ যুক্ত হয়। তাদের প্রতিবেশীদের ডিভাইসগুলো সম্পূর্ণ আলাদা একটি VLAN-এ থাকে। কেউই অপরের ট্রাফিক দেখতে পায় না। যেসব ডিভাইস 802.1X সাপোর্ট করে না - যেমন স্মার্ট টিভি, গেম কনসোল, IoT ডিভাইস - সেগুলোর জন্য এই পদ্ধতিটি একটি বাস্তবসম্মত বিকল্প। ডিভাইসটির কেবল WPA2-PSK সাপোর্ট করা প্রয়োজন, যা সব ডিভাইসেই থাকে। [ইমপ্লিমেন্টেশন সংক্রান্ত সুপারিশ এবং ত্রুটিসমূহ - আনুমানিক ২ মিনিট] আসুন এই ডেপ্লয়মেন্টগুলোতে সাধারণত যে চারটি সমস্যা দেখা দেয় তা আপনাদের বলি। প্রথম: ওয়াল্ড গার্ডেন সংক্রান্ত গ্যাপ। যদি Purple-এর স্প্ল্যাশ পেজ লোড হতে ব্যর্থ হয়, তাহলে আপনার ওয়াল্ড গার্ডেন এন্ট্রিগুলো চেক করুন। সবচেয়ে সাধারণ কারণ হলো একটি অনুপস্থিত CDN ডোমেইন বা একটি সোশ্যাল লগইন রিডাইরেক্ট যা হোয়াইটলিস্ট করা হয়নি। অথেন্টিকেশনের আগে কোন DNS কোয়েরিগুলো ব্লক করা হচ্ছে তা দেখতে MikroTik টর্চ টুল বা প্যাকেট স্নিফার ব্যবহার করুন। দ্বিতীয়: RADIUS টাইমআউট অমিল। MikroTik-এর ডিফল্ট RADIUS টাইমআউট হলো ১,১০০ মিলিসেকেন্ড। যদি Purple-এর RADIUS সার্ভার ভৌগোলিকভাবে দূরে থাকে বা নেটওয়ার্ক পাথে লেটেন্সি থাকে, তবে আপনি মাঝে মাঝে অথেন্টিকেশন ফেইলর দেখতে পাবেন। স্থিতিস্থাপকতার জন্য টাইমআউট বাড়িয়ে ৩,০০০ মিলিসেকেন্ড করুন এবং একটি ব্যাকআপ RADIUS সার্ভার কনফিগার করুন। তৃতীয়: ব্রিজে VLAN ফিল্টারিং সক্ষম না থাকা। RADIUS-এর মাধ্যমে ডাইনামিক VLAN অ্যাসাইনমেন্ট তখনই কাজ করে যখন ব্রিজ VLAN ফিল্টারিং সক্ষম থাকে। এটি একটি RouterOS প্রয়োজনীয়তা। RADIUS যা-ই রিটার্ন করুক না কেন, আপনি যদি দেখেন যে সমস্ত ক্লায়েন্ট ডিফল্ট VLAN-এ যুক্ত হচ্ছে, তবে আপনার ব্রিজ ইন্টারফেসে vlan-filtering=yes সেট করা আছে কিনা তা চেক করুন। চতুর্থ: CAPsMAN ভার্সন অমিল। আপনি যদি CAPsMAN ভার্সন ২ এবং ভার্সন ৩ ম্যানেজড অ্যাক্সেস পয়েন্টের মিশ্রণ ব্যবহার করেন, তবে VLAN ট্যাগিং আচরণ ভিন্ন হতে পারে। ডাইনামিক VLAN ফিচারগুলো ডেপ্লয় করার আগে আপনার সম্পূর্ণ AP এস্টেটে CAPsMAN ভার্সন ৩ সহ RouterOS ৭ স্ট্যান্ডার্ডাইজ করুন। একটি আর্কিটেকচারাল সুপারিশ: প্রথম দিন থেকেই আপনার গেস্ট, স্টাফ এবং ম্যানেজমেন্ট ট্রাফিক আলাদা VLAN-এ চালান, এমনকি আপনি যদি অবিলম্বে তিনটি Purple ব্যবহারের ক্ষেত্রই ব্যবহার না-ও করেন। একটি ফ্ল্যাট নেটওয়ার্কে VLAN সেগমেন্টেশন যুক্ত করা শুরু থেকে এটি তৈরি করার চেয়ে উল্লেখযোগ্যভাবে বেশি জটিল ও বিঘ্নকারী। [ঝটপট প্রশ্নোত্তর - আনুমানিক ১ মিনিট] আমি কি একটি এক্সটার্নাল RADIUS সার্ভারের পরিবর্তে MikroTik-এর বিল্ট-ইন ইউজার ম্যানেজার ব্যবহার করতে পারি? হ্যাঁ, ছোট ডেপ্লয়মেন্টের জন্য। RouterOS ৭-এ ইউজার ম্যানেজার ওয়্যারলেস 802.1X-এর জন্য PEAP-MSCHAPv2 সাপোর্ট করে এবং Mikrotik-Wireless-VLANID অ্যাট্রিবিউট রিটার্ন করতে পারে। Purple-এর সাথে প্রোডাকশন ডেপ্লয়মেন্টের জন্য, আপনি Purple-এর হোস্টেড RADIUS ইনফ্রাস্ট্রাকচার ব্যবহার করবেন, যা আপনার জন্য আইডেন্টিটি প্রোভাইডার ইন্টিগ্রেশন এবং সেশন ম্যানেজমেন্ট পরিচালনা করে। Purple কি MikroTik CAPsMAN সাপোর্ট করে? হ্যাঁ। Purple হার্ডওয়্যার-নিরপেক্ষ। এই ইন্টিগ্রেশনটি RADIUS এবং হটস্পট রিডাইরেক্ট স্তরে কাজ করে, তাই এটি স্বতন্ত্র MikroTik অ্যাক্সেস পয়েন্ট এবং CAPsMAN-পরিচালিত ডিপ্লয়মেন্ট উভয়ের সাথেই সমানভাবে সামঞ্জস্যপূর্ণ। আমার কোন RouterOS ভার্সন প্রয়োজন? এই গাইডে কভার করা তিনটি ব্যবহারের ক্ষেত্রের জন্যই RouterOS 7.x ব্যবহার করার পরামর্শ দেওয়া হচ্ছে। ওয়্যারলেস RADIUS-এর মাধ্যমে ডাইনামিক VLAN অ্যাসাইনমেন্ট এবং আপডেট করা ইউজার ম্যানেজার হল RouterOS 7-এর ফিচার। RouterOS 6.x হটস্পট এবং বেসিক RADIUS অথেন্টিকেশন সাপোর্ট করে কিন্তু এতে ওয়্যারলেস VLAN-এর কিছু কার্যক্ষমতার অভাব রয়েছে। [সংক্ষেপ এবং পরবর্তী পদক্ষেপ - প্রায় ১ মিনিট] সংক্ষেপে বলতে গেলে: MikroTik RouterOS আপনাকে Purple-এর সাথে তিনটি আলাদা ইন্টিগ্রেশন পয়েন্ট দেয়। হটস্পট গেটওয়ে গেস্ট WiFi রিডাইরেকশন এবং Captive Portal অথেন্টিকেশন পরিচালনা করে। RADIUS সহ ওয়্যারলেস 802.1X কনফিগারেশন পরিচয়-ভিত্তিক অ্যাক্সেস সহ সুরক্ষিত স্টাফ WiFi পরিচালনা করে। এবং প্রাইভেট PSK সহ MAC-ভিত্তিক RADIUS অথেন্টিকেশন আবাসিক ও মিশ্র-ব্যবহারের প্রপার্টির জন্য মাল্টি-টেন্যান্ট নেটওয়ার্ক সেগ্রিগেশন পরিচালনা করে। এই তিনটির মধ্যেই সাধারণ সূত্রটি হল RADIUS। আপনার RADIUS ক্লায়েন্ট কনফিগারেশন ঠিকঠাক করুন - সঠিক IP, সঠিক শেয়ার্ড সিক্রেট, সঠিক সার্ভিস টাইপ, সঠিক টাইমআউট - এবং বাকিটা নিজে থেকেই কাজ করবে। আপনার পরবর্তী পদক্ষেপ: আপনার Purple ড্যাশবোর্ডে লগ ইন করুন, ভেন্যু কনফিগারেশনে যান এবং আপনার RADIUS ক্রেডেনশিয়াল সংগ্রহ করুন। তারপর আপনার হটস্পট প্রোফাইল, আপনার ওয়্যারলেস সিকিউরিটি প্রোফাইল এবং আপনার ওয়াল্ড গার্ডেন এন্ট্রি কনফিগার করতে লিখিত গাইডের CLI কমান্ডগুলো অনুসরণ করুন। আপনার সম্পূর্ণ এস্টেটে রোল আউট করার আগে একটি একক অ্যাক্সেস পয়েন্ট দিয়ে পরীক্ষা করুন। আপনি যদি এটি বড় আকারে ডিপ্লয় করেন - একাধিক সাইট, শত শত অ্যাক্সেস পয়েন্ট - তবে Purple-এর প্রফেশনাল সার্ভিস টিম এই রোল আউট প্রক্রিয়ায় সহায়তা করতে পারে। Purple বিশ্বব্যাপী ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে চলে, যার আপটাইম ৯৯.৯৯৯% এবং এটি ISO 27001, GDPR এবং Cyber Essentials দ্বারা প্রত্যয়িত। শোনার জন্য ধন্যবাদ। সমস্ত CLI কমান্ড, RADIUS অ্যাট্রিবিউট টেবিল এবং উদাহরণ সহ সম্পূর্ণ লিখিত গাইডটির লিঙ্ক শো নোটসে দেওয়া হয়েছে।