WatchGuard WiFi Cloud AP এবং গেস্ট WiFi: Purple-এর সাথে ক্যাপটিভ পোর্টাল সেটআপ

ইন্টিগ্রেশন ব্রিফিংয়ে আপনাকে স্বাগতম। আজ আমরা Purple WiFi-এর সাথে WatchGuard Firebox এবং অ্যাক্সেস পয়েন্ট ইন্টিগ্রেশন নিয়ে আলোচনা করছি। এটি আইটি ম্যানেজার, নেটওয়ার্ক আর্কিটেক্ট এবং ভেন্যু অপারেশন ডিরেক্টরদের জন্য একটি টেকনিক্যাল প্লেবুক যাদের নিরাপদ, স্কেলযোগ্য ওয়্যারলেস অবকাঠামো স্থাপন করতে হবে। আমরা গেস্ট WiFi ক্যাপটিভ পোর্টাল, 802.1X ব্যবহার করে সিকিউর স্টাফ WiFi এবং WatchGuard প্রাইভেট প্রি-শেয়ার্ড কি বা PPSK ব্যবহার করে মাল্টি-টেন্যান্ট সেগমেন্টেশন দেখব। চলুন সরাসরি প্রসঙ্গে যাওয়া যাক। আপনি যখন কোনো জটিল ভেন্যু পরিচালনা করছেন, যেমন একটি স্টেডিয়াম, একটি বড় রিটেল সেন্টার বা একটি MDU, তখন নেটওয়ার্ক কে অ্যাক্সেস করছে এবং সংযুক্ত হওয়ার পর তারা কী করতে পারে তার ওপর আপনার সুনির্দিষ্ট নিয়ন্ত্রণ প্রয়োজন। মার্কেটিং রেভিনিউ বাড়াতে আপনার ফার্স্ট-পার্টি ডেটা ক্যাপচার করাও প্রয়োজন। WatchGuard ইউনিফাইড সিকিউরিটি প্ল্যাটফর্ম এবং হার্ডওয়্যার প্রদান করে। Purple ক্লাউড ওভারলে, আইডেন্টিটি ম্যানেজমেন্ট এবং অ্যানালিটিক্স প্রদান করে। এই দুটিকে একীভূত করার মাধ্যমে, আপনি আইডেন্টিটি-ভিত্তিক অ্যাক্সেস কন্ট্রোল অটোমেট করতে পারেন। আপনি আলাদা গেস্ট এবং স্টাফ গেটওয়ের প্রয়োজনীয়তা দূর করতে পারেন, যা হার্ডওয়্যার খরচ কমায় এবং পরিচালনা সহজ করে। Purple বর্তমানে ৮০,০০০-এরও বেশি লাইভ ভেন্যুতে সেবা দিচ্ছে এবং শুধুমাত্র ২০২৪ সালেই ৪৪০ মিলিয়ন লগইন প্রসেস করেছে, তাই প্ল্যাটফর্মটি আপনার পরিচালনা করা যেকোনো ভেন্যুর স্কেল পরিচালনা করার জন্য তৈরি করা হয়েছে। চলুন টেকনিক্যাল ডিপ-ডাইভের দিকে যাওয়া যাক। আর্কিটেকচারটি স্ট্যান্ডার্ড RADIUS প্রোটোকল এবং HTTP রিডাইরেকশনের ওপর নির্ভর করে। আমাদের তিনটি প্রধান অ্যাক্সেস টিয়ার রয়েছে। প্রথমত, গেস্ট WiFi। এটি একটি ওপেন SSID। WatchGuard AP HTTP রিকোয়েস্টগুলো ইন্টারসেপ্ট করে এবং ব্যবহারকারীকে Purple-এর হোস্ট করা স্প্ল্যাশ পেজে রিডাইরেক্ট করে। দ্বিতীয়ত, স্টাফ WiFi। এটি 802.1X ব্যবহার করে একটি সিকিউর WPA3-Enterprise SSID। ডিভাইসগুলো EAP-TLS বা PEAP ব্যবহার করে সরাসরি Purple-এর RADIUS সার্ভারের বিরুদ্ধে অথেন্টিকেট করে। তৃতীয়ত, মাল্টি-টেন্যান্ট WiFi। এটি WatchGuard PPSK ব্যবহার করে। একাধিক ব্যবহারকারী একটি একক SSID-তে সংযুক্ত হন, তবে প্রত্যেকে একটি অনন্য পাসওয়ার্ড ব্যবহার করেন। WatchGuard AP Purple-এর RADIUS সার্ভারকে কোয়েরি করে, যা পরে সেই নির্দিষ্ট কি-এর ওপর ভিত্তি করে ডাইনামিকভাবে একটি VLAN অ্যাসাইন করে। তাহলে, আমরা কীভাবে গেস্ট WiFi ক্যাপটিভ পোর্টাল কনফিগার করব? প্রথম ধাপ হলো WatchGuard Cloud বা Firebox Policy Manager-এ RADIUS সার্ভার সেট আপ করা। আপনি আপনার অঞ্চলের জন্য প্রাইমারি RADIUS সার্ভারটিকে Purple-এর IP অ্যাড্রেসের দিকে নির্দেশ করুন। অথেন্টিকেশন পোর্ট ১৮১২-এ এবং অ্যাকাউন্টিং পোর্ট ১৮১৩-এ হয়। আপনি Purple দ্বারা প্রদত্ত শেয়ার্ড সিক্রেটটি প্রবেশ করান এবং অত্যন্ত গুরুত্বপূর্ণভাবে, নিশ্চিত করুন যে NAS ID যেন Firebox বা AP-এর MAC অ্যাড্রেসের সাথে মেলে। এটি Purple-কে জানায় যে রিকোয়েস্টটি কোন ভেন্যু থেকে আসছে। দ্বিতীয় ধাপ হলো ক্যাপটিভ পোর্টাল রিডাইরেকশন নিজেই। SSID সেটিংসে, আপনি Third-Party Hosted Captive Portal with RADIUS Authentication নির্বাচন করুন। আপনি Purple স্প্ল্যাশ পেজের URL প্রবেশ করান এবং পোর্টাল শেয়ার্ড সিক্রেটটি প্রবেশ করান। এটি Purple Analyze ড্যাশবোর্ডে জেনারেট করা একটি নির্দিষ্ট সিক্রেট এবং এটি অথেন্টিকেশন রিকোয়েস্টগুলো যাচাই করতে একটি HMAC ডাইজেস্ট তৈরি করতে ব্যবহৃত হয়। HMAC-SHA1 অ্যালগরিদম নিশ্চিত করে যে Purple থেকে আসা অথেন্টিকেশন সফলতার বার্তাটি আসল এবং ট্রানজিটের সময় এতে কোনো পরিবর্তন করা হয়নি। তৃতীয় ধাপ, এবং এখানেই অনেক ডেপ্লয়মেন্ট বাধাগ্রস্ত হয়, তা হলো ওয়াল্ড গার্ডেন। আপনি যদি এটি কনফিগার না করেন, তবে ডিভাইসটি স্প্ল্যাশ পেজ লোড করতে পারবে না। লগইন করার আগে আপনাকে star dot mypurple dot com, api dot mypurple dot com এবং cdn dot mypurple dot com-এ অ্যাক্সেসের অনুমতি দিতে হবে। আপনি যদি Microsoft Entra ID বা Google Workspace-এর মতো সোশ্যাল লগইন ব্যবহার করেন, তবে আপনাকে সেই আইডেন্টিটি প্রোভাইডার ডোমেনগুলোও যোগ করতে হবে। ওয়াল্ড গার্ডেনকে প্রাক-অথেন্টিকেশন লবি হিসেবে ভাবুন। এটি ছাড়া, গেস্ট এমনকি সদর দরজায়ও পৌঁছাতে পারবে না। এখন, WatchGuard PPSK-এর সাথে মাল্টি-টেন্যান্ট সেগমেন্টেশন দেখা যাক। আপনি যদি ১৫টি দোকান সহ একটি রিটেল সেন্টার পরিচালনা করেন, তবে ১৫টি ভিন্ন SSID ব্রডকাস্ট করা একটি দুর্বল পদ্ধতি। এটি কো-চ্যানেল ইন্টারফারেন্স ঘটায়, এয়ারস্পেসকে বিশৃঙ্খল করে এবং একটি ম্যানেজমেন্ট ওভারহেড তৈরি করে। PPSK এটিকে চমৎকারভাবে সমাধান করে। আপনি একটি SSID ব্রডকাস্ট করেন, ধরুন Centre-Retail। আপনি WatchGuard SSID সেটিংসে Private Pre-Shared Key সক্ষম করেন, যার জন্য আপনার WatchGuard অ্যাক্সেস পয়েন্টগুলোতে ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি প্রয়োজন। Purple-এ, আপনি প্রতিটি টেন্যান্টের জন্য একটি করে অনন্য কি তৈরি করেন। ট্রাফিক আইসোলেট করতে, আপনি ডাইনামিক VLAN অ্যাসাইনমেন্ট ব্যবহার করেন। WatchGuard Cloud-এ, আপনি VLAN-কে Dynamic VLAN assigned by RADIUS-এ সেট করেন। যখন কোনো দোকান তাদের নির্দিষ্ট কি ব্যবহার করে একটি ডিভাইস সংযুক্ত করে, তখন AP Purple-এর RADIUS সার্ভারে একটি Access-Request পাঠায়। Purple কি-টি যাচাই করে এবং তিনটি গুরুত্বপূর্ণ IETF RADIUS অ্যাট্রিবিউট সহ একটি Access-Accept প্যাকেট ফেরত পাঠায়। Tunnel-Type, যা অ্যাট্রিবিউট ৬৪, VLAN-এ সেট করা থাকে। Tunnel-Medium-Type, অ্যাট্রিবিউট ৬৫, 802-এ সেট করা থাকে। এবং Tunnel-Private-Group-ID, অ্যাট্রিবিউট ৮১, অ্যাসাইন করা VLAN ID-তে সেট করা থাকে, উদাহরণস্বরূপ Retail Tenant A-এর জন্য VLAN 100। WatchGuard AP তখন সেই ডিভাইসটিকে VLAN 100-এ স্থাপন করে, যা অন্য টেন্যান্টদের থেকে সম্পূর্ণ আলাদা। এটিই হলো বাস্তবে আইডেন্টিটি-ভিত্তিক নেটওয়ার্কিং। আসুন ইমপ্লিমেন্টেশন সুপারিশ এবং সাধারণ ভুলত্রুটিগুলো নিয়ে আলোচনা করি। প্রথমত, সেশন টাইমআউট। পুনরায় অথেন্টিকেশন করতে বাধ্য করতে Purple এবং WatchGuard উভয় ক্ষেত্রেই কঠোর সেশন টাইমআউট কনফিগার করুন। এটি আপনার অ্যানালিটিক্সকে সঠিক রাখে এবং নিশ্চিত করে যে বাসি সেশনগুলো ব্যান্ডউইথ গ্রাস করছে না। আপনার RADIUS Interim-Update ইন্টারভাল ১০ মিনিটে সেট করুন। দ্বিতীয়ত, ফার্মওয়্যার। PPSK সমর্থন করতে আপনার WatchGuard অ্যাক্সেস পয়েন্টগুলো ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি চলছে কিনা তা নিশ্চিত করতে হবে। পূর্ববর্তী ফার্মওয়্যার সংস্করণগুলো এই ফিচারটি সমর্থন করে না। তৃতীয়ত, MAC র্যান্ডমাইজেশন। আধুনিক ডিভাইসগুলো ডিফল্টরূপে তাদের MAC অ্যাড্রেস র্যান্ডমাইজ করে। আপনার সিকিউর স্টাফ WiFi নেটওয়ার্কের জন্য, স্থিতিশীল 802.1X অথেন্টিকেশন নিশ্চিত করতে আপনার কর্মীদের সেই নির্দিষ্ট SSID-এর জন্য এই ফিচারটি নিষ্ক্রিয় করতে বলুন। MAC র্যান্ডমাইজেশন অথেন্টিকেশন ব্যর্থতা এবং অসঙ্গতিপূর্ণ অ্যানালিটিক্স ডেটার কারণ হতে পারে। যখন কোনো সমস্যা হয় তখন কী ঘটে? ক্যাপটিভ পোর্টাল লোড হতে ব্যর্থ হলে, প্রথমে ওয়াল্ড গার্ডেন পরীক্ষা করুন। ডিভাইসটি যদি DNS রিসলভ করতে বা Purple সার্ভারে পৌঁছাতে না পারে, তবে এটি স্প্ল্যাশ পেজের পরিবর্তে একটি টাইমআউট ত্রুটি দেখাবে। যদি VLAN স্টিয়ারিং ব্যর্থ হয় এবং ক্লায়েন্ট ভুল VLAN থেকে একটি IP পায়, তবে Purple পোর্টালে RADIUS লগগুলো পরীক্ষা করুন। নিশ্চিত করুন যে Tunnel-Private-Group-ID অ্যাট্রিবিউটটি একটি স্ট্রিং হিসেবে সঠিকভাবে ফরম্যাট করা হয়েছে এবং AP-এর সাথে সংযুক্ত সুইচ পোর্টে প্রকৃতপক্ষে বিদ্যমান একটি VLAN-এর সাথে মেলে। আপনি যদি WatchGuard লগে HMAC ডাইজেস্ট ত্রুটি দেখতে পান, তবে আপনার Captive Portal Shared Secret-টি WatchGuard এবং Purple-এর মধ্যে মিলছে না। এটি উভয় সিস্টেমে হুবহু এক হতে হবে, প্রতিটি অক্ষরে অক্ষরে। এবার একটি র‍্যাপিড-ফায়ার প্রশ্নোত্তর পর্ব। প্রশ্ন: আমি কি একই SSID-তে PPSK এবং ক্যাপটিভ পোর্টাল ব্যবহার করতে পারি? উত্তর: না। WatchGuard একই সাথে একই SSID-তে PPSK এবং একটি ক্যাপটিভ পোর্টাল-এর মাধ্যমে ডাইনামিক VLAN চালানো সমর্থন করে না। পোর্টালের জন্য আপনার একটি SSID এবং PPSK-এর জন্য একটি আলাদা SSID প্রয়োজন। সেই অনুযায়ী আপনার SSID আর্কিটেকচার পরিকল্পনা করুন। প্রশ্ন: RADIUS সার্ভার যদি কোনো PPSK ব্যবহারকারীর জন্য VLAN ID ফেরত না দেয় তবে কী হবে? উত্তর: WatchGuard Cloud-এ, আপনি একটি Unassigned Clients ফলব্যাক অপশন কনফিগার করতে পারেন। তারা যেন কর্পোরেট নেটওয়ার্কে অ্যাক্সেস না পায় তা নিশ্চিত করতে আপনি তাদের একটি আনট্যাগড VLAN বা একটি নির্দিষ্ট আইসোলেটেড কোয়ারেন্টাইন VLAN-এ ফেলে দিতে পারেন। অনাকাঙ্ক্ষিত অ্যাক্সেস এড়াতে সর্বদা এই ফলব্যাক কনফিগার করুন। সংক্ষেপে বলতে গেলে, Purple-এর সাথে WatchGuard Firebox একীভূত করা আপনাকে গেস্ট, স্টাফ এবং মাল্টি-টেন্যান্ট নেটওয়ার্ক জুড়ে নিরাপত্তা, আইডেন্টিটি এবং অ্যানালিটিক্সের জন্য একটি ইউনিফাইড প্ল্যাটফর্ম প্রদান করে। আপনি গেস্টদের জন্য এক্সটার্নাল ক্যাপটিভ পোর্টাল রিডাইরেকশন, স্টাফদের জন্য 802.1X এবং মাল্টি-টেন্যান্ট পরিবেশের জন্য ডাইনামিক VLAN সহ PPSK ব্যবহার করেন। ROI স্পষ্ট। আপনি গেটওয়েগুলো একত্রিত করে হার্ডওয়্যার খরচ কমান, একটি একক ক্লাউড প্ল্যাটফর্মের মাধ্যমে পরিচালনা সহজ করেন এবং Purple ক্যাপটিভ পোর্টাল-এর মাধ্যমে ফার্স্ট-পার্টি ডেটা ক্যাপচার করে রেভিনিউ বাড়ান। আপনার পরবর্তী পদক্ষেপগুলো হলো আপনার বর্তমান SSID আর্কিটেকচার পর্যালোচনা করা, আপনার WatchGuard ফার্মওয়্যার সংস্করণ ২.৬ বা তার বেশি কিনা তা নিশ্চিত করা এবং Purple পোর্টালে আপনার RADIUS সেটিংস কনফিগার করা শুরু করা। শোনার জন্য ধন্যবাদ।