मुख्य सामग्री पर जाएं
हिन्दी

Ubiquiti UniFi के लिए कैप्टिव पोर्टल

यह आधिकारिक तकनीकी मार्गदर्शिका Ubiquiti UniFi नेटवर्क एप्लिकेशन पर एक बाहरी कैप्टिव पोर्टल (Purple) के कॉन्फ़िगरेशन का विवरण देती है। इसमें वरिष्ठ IT पेशेवरों और नेटवर्क एडमिनिस्ट्रेटर के लिए अंतर्निहित नेटवर्क मैकेनिक्स, चरण-दर-चरण गेस्ट नेटवर्क डिप्लॉयमेंट, वॉल्ड गार्डन व्हाइटलिस्टिंग, RADIUS ऑथेंटिकेशन और समस्या निवारण रणनीतियाँ शामिल हैं।

📖 10 मिनट का पाठ📝 2,475 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
Ubiquiti UniFi के लिए कैप्टिव पोर्टल — एक Purple तकनीकी ब्रीफिंग [परिचय और संदर्भ — लगभग 1 मिनट] Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम Ubiquiti UniFi इंफ्रास्ट्रक्चर पर एक बाहरी कैप्टिव पोर्टल डिप्लॉय करने की विशिष्टताओं में जा रहे हैं — जो वैश्विक स्तर पर हॉस्पिटैलिटी, रिटेल और एंटरप्राइज़ वातावरण में सबसे व्यापक रूप से डिप्लॉय किए गए नेटवर्क प्लेटफार्मों में से एक है। यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या सिस्टम इंटीग्रेटर हैं जो UniFi क्लाउड गेटवे, ड्रीम मशीनों, या UniFi नेटवर्क एप्लिकेशन के साथ काम कर रहे हैं, तो यह एपिसोड आपके लिए है। हम यह देखने जा रहे हैं कि बाहरी पोर्टल तंत्र वास्तव में हुड के नीचे कैसे काम करता है, इसे सही तरीके से कैसे कॉन्फ़िगर किया जाए, सामान्य गलतियाँ कहाँ होती हैं, और उन स्थलों के लिए UniFi डिप्लॉयमेंट के शीर्ष पर Purple को ओवरले करना सही आर्किटेक्चरल निर्णय क्यों है जिन्हें एक बुनियादी स्प्लैश पेज से अधिक की आवश्यकता होती है। आइए शुरू करते हैं। [तकनीकी गहन विश्लेषण — लगभग 5 मिनट] सबसे पहले, आइए समझें कि वास्तव में क्या होता है जब कोई गेस्ट किसी ऐसे UniFi SSID से कनेक्ट होता है जिसमें कैप्टिव पोर्टल सक्षम होता है। जब कोई गेस्ट डिवाइस आपके गेस्ट SSID से जुड़ता है, तो UniFi एक्सेस पॉइंट इसे सामान्य रूप से DHCP के माध्यम से एक IP एड्रेस असाइन करता है। लेकिन डिवाइस को तुरंत उस स्थिति में रखा जाता है जिसे UniFi "पेंडिंग" स्थिति कहता है। इस स्थिति में, AP की इन-बिल्ट DNSmasq प्रक्रिया डिवाइस द्वारा की जाने वाली प्रत्येक DNS क्वेरी को इंटरसेप्ट करती है, भले ही डिवाइस किसी भी DNS सर्वर का उपयोग कर रहा हो। AP सभी DNS ट्रैफ़िक को अपने पास रीडायरेक्ट करता है। साथ ही, AP पोर्ट 80 पर एक लाइटवेट HTTP रीडायरेक्टर चलाता है। जैसे ही गेस्ट का ब्राउज़र कोई HTTP अनुरोध करता है — और यह मुख्य शब्द है, HTTP, न कि HTTPS — रीडायरेक्टर 302 रीडायरेक्ट वापस भेजता है, जिससे ब्राउज़र कैप्टिव पोर्टल स्प्लैश पेज पर चला जाता है। यह वह तंत्र है जो iOS और Android डिवाइसों पर "Sign in to WiFi" अधिसूचना को ट्रिगर करता है। अब, यहीं पर इन-बिल्ट पोर्टल बनाम बाहरी पोर्टल का अंतर महत्वपूर्ण हो जाता है। इन-बिल्ट UniFi हॉटस्पॉट पोर्टल के साथ, स्प्लैश पेज सीधे UniFi नेटवर्क एप्लिकेशन द्वारा परोसा जाता है। यह कार्यात्मक है, इसे सेट करना त्वरित है, लेकिन यह गंभीर रूप से सीमित है। आपको बुनियादी पासवर्ड ऑथेंटिकेशन, वाउचर और Stripe भुगतान मिलते हैं। इसमें कोई ईमेल कैप्चर, कोई सोशल लॉगिन, कोई GDPR सहमति प्रबंधन, कोई CRM इंटीग्रेशन और सेशन काउंट से परे कोई सार्थक एनालिटिक्स नहीं है। जब आप एक External Portal Server को कॉन्फ़िगर करते हैं — जो कि वह सेटिंग है जिस पर हम आज ध्यान केंद्रित कर रहे हैं — तो आप UniFi कंट्रोलर को मेहमानों को पूरी तरह से अलग वेब एप्लिकेशन पर रीडायरेक्ट करने के लिए कह रहे हैं। हमारे मामले में, वह Purple है। बाहरी पोर्टल सर्वर फ़ील्ड में आपके द्वारा दर्ज किया गया URL उन सभी 302 रीडायरेक्ट का गंतव्य बन जाता है। उस रीडायरेक्ट URL के बारे में महत्वपूर्ण तकनीकी विवरण यहाँ दिया गया है। जब UniFi किसी गेस्ट को आपके बाहरी पोर्टल पर रीडायरेक्ट करता है, तो यह URL में कई क्वेरी पैरामीटर जोड़ता है। इनमें शामिल हैं: AP MAC एड्रेस, क्लाइंट डिवाइस MAC एड्रेस, एक Unix टाइमस्टैम्प, मूल URL जिसे क्लाइंट एक्सेस करने का प्रयास कर रहा था, और SSID नाम। आपका बाहरी पोर्टल — इस संदर्भ में Purple — उन पैरामीटर को कैप्चर करता है, कनेक्टिंग डिवाइस की पहचान करने के लिए उनका उपयोग करता है, उपयुक्त स्प्लैश पेज प्रस्तुत करता है, ऑथेंटिकेशन को संभालता है, और फिर उस MAC एड्रेस को ऑथराइज करने के लिए UniFi नेटवर्क एप्लिकेशन को एक API कॉल वापस करता है। वह API कॉल महत्वपूर्ण हैंडशेक है। UniFi नेटवर्क एप्लिकेशन 9.1 और बाद के संस्करणों के अनुसार, उचित कुंजी-आधारित ऑथेंटिकेशन के साथ एक आधिकारिक REST API है। ऑथराइजेशन एंडपॉइंट साइट्स API के संस्करण एक के लिए एक POST अनुरोध है, जो विशिष्ट क्लाइंट ID को लक्षित करता है, जिसमें एक JSON बॉडी होती है जो मिनटों में समय सीमा, मेगाबाइट में डेटा उपयोग सीमा और किलोबिट प्रति सेकंड में दर सीमा निर्दिष्ट कर सकती है। एक बार जब कंट्रोलर को वह ऑथराइजेशन प्राप्त हो जाता है, तो यह निर्देश को AP पर भेज देता है, और गेस्ट पेंडिंग से ऑथराइज्ड में चला जाता है। इंटरनेट एक्सेस प्रदान कर दिया जाता है। अब आइए वॉल्ड गार्डन के बारे में बात करते हैं, जिसे UniFi Pre-Authorization Access कहता है। यह उन डोमेन और IP पतों की श्वेतसूची है जिन तक मेहमान ऑथेंटिकेट होने से पहले पहुंच सकते हैं। यह आवश्यक है, और यह गलत कॉन्फ़िगरेशन के सबसे आम स्रोतों में से एक है। कम से कम, आपके वॉल्ड गार्डन में आपके Purple पोर्टल का पूरी तरह से योग्य डोमेन नाम (FQDN), और वे IP पते या CIDR रेंज शामिल होने चाहिए जिन पर Purple का इंफ्रास्ट्रक्चर रिज़ॉल्व होता है। यदि आप सोशल लॉगिन — Facebook, Google, Microsoft — का उपयोग कर रहे हैं, तो आपको उन प्रदाताओं के लिए भी OAuth एंडपॉइंट डोमेन जोड़ने होंगे। Google के लॉगिन एंडपॉइंट कई IP श्रेणियों और कई डोमेन में फैले हुए हैं जिनमें accounts.google.com और oauth2.googleapis.com शामिल हैं। Facebook के लॉगिन इंफ्रास्ट्रक्चर को भी इसी तरह कई प्रविष्टियों की आवश्यकता होती है। Purple के दस्तावेज़ आवश्यक सटीक प्रविष्टियों की एक अद्यतन सूची प्रदान करते हैं, और यह सूची वर्तमान रखी जाती है क्योंकि वे प्रदाता अपने इंफ्रास्ट्रक्चर को अपडेट करते हैं। UniFi के लिए विशिष्ट एक महत्वपूर्ण समस्या है जो बहुत सारे डिप्लॉयमेंट को प्रभावित करती है। AP पर HTTP रीडायरेक्टर केवल पोर्ट 80 पर सादे HTTP ट्रैफ़िक को इंटरसेप्ट करता है। आधुनिक डिवाइस — iOS, Android, Windows, macOS — सभी HTTPS-आधारित कैप्टिव पोर्टल डिटेक्शन करते हैं। Apple डिवाइस HTTPS पर captive.apple.com पर जाते हैं। Android डिवाइस connectivitycheck.gstatic.com पर जाते हैं। यदि उन HTTPS अनुरोधों को कोई विशिष्ट प्रतिक्रिया नहीं मिलती है, तो डिवाइस यह तय कर सकता है कि कोई कैप्टिव पोर्टल नहीं है और बस साइन-इन प्रॉम्प्ट दिखाने में विफल हो सकता है। समाधान यह सुनिश्चित करना है कि आपके वॉल्ड गार्डन में प्रमुख ऑपरेटिंग सिस्टम के लिए कैप्टिव पोर्टल डिटेक्शन डोमेन शामिल हों, और आपका Purple पोर्टल एक वैध, विश्वसनीय SSL सर्टिफिकेट के साथ HTTPS पर सुलभ हो। सेल्फ-साइन किए गए सर्टिफिकेट ब्राउज़र सुरक्षा चेतावनियों का कारण बनेंगे जो पोर्टल को लोड होने से रोकती हैं। प्रोडक्शन डिप्लॉयमेंट के लिए यह गैर-परक्राम्य है। अन्य UniFi-विशिष्ट विचार कंट्रोलर की पहुंच है। UniFi नेटवर्क एप्लिकेशन — चाहे वह क्लाउड गेटवे, क्लाउड की, या सेल्फ-होस्टेड सर्वर पर चल रहा हो — API ऑथराइजेशन कॉल के सफल होने के लिए Purple के इंफ्रास्ट्रक्चर से सुलभ होना चाहिए। यदि आपका कंट्रोलर NAT के पीछे एक निजी नेटवर्क पर है, तो आपको यह सुनिश्चित करना होगा कि प्रासंगिक API पोर्ट सुलभ हैं। सेल्फ-होस्टेड कंट्रोलर्स के लिए, यह आमतौर पर लीगेसी API के लिए पोर्ट 8443 है, या संस्करण 9.1 में पेश किए गए नए API के लिए मानक HTTPS पोर्ट 443 है। Purple के सहायता दस्तावेज़ उन सटीक IP श्रेणियों को निर्दिष्ट करते हैं जिन्हें आपके कंट्रोलर तक इनबाउंड पहुंच की आवश्यकता होती है। RADIUS-आधारित ऑथेंटिकेशन के लिए — जो तब प्रासंगिक होता है जब आप ओपन गेस्ट SSID मॉडल के बजाय WPA2-Enterprise या WPA3-Enterprise SSIDs के साथ Purple को डिप्लॉय कर रहे होते हैं — UniFi का इन-बिल्ट RADIUS सर्वर मानक 802.1X EAP विधियों का समर्थन करता है। आप Settings, Networks, RADIUS Servers के अंतर्गत RADIUS प्रोफ़ाइल को कॉन्फ़िगर करते हैं, और फिर अपने SSID कॉन्फ़िगरेशन में उस प्रोफ़ाइल को संदर्भित करते हैं। UniFi संस्करण 8.4 के बाद से TLS पर RADIUS का भी समर्थन करता है, जिसे RADSEC के रूप में जाना जाता है, जो AP और ऑथेंटिकेशन सर्वर के बीच RADIUS ट्रैफ़िक को एन्क्रिप्ट करता है। मल्टी-साइट डिप्लॉयमेंट के लिए जहां RADIUS ट्रैफ़िक सार्वजनिक इंटरनेट से होकर गुजरता है, RADSEC की दृढ़ता से अनुशंसा की जाती है। [कार्यान्वयन सिफारिशें और नुकसान — लगभग 2 मिनट] आइए आपको व्यावहारिक कार्यान्वयन चेकलिस्ट देते हैं जिसे मैं UniFi पर Purple डिप्लॉय करने वाले किसी भी क्लाइंट के साथ साझा करूँगा। पहला, नेटवर्क सेगमेंटेशन। आपका गेस्ट SSID एक समर्पित VLAN पर होना चाहिए, जो आपके कॉर्पोरेट और IoT नेटवर्क से अलग हो। UniFi इसे सीधा बनाता है — Settings, Networks में एक समर्पित नेटवर्क बनाएं, इसे एक VLAN ID असाइन करें, और अपने गेस्ट SSID को उस नेटवर्क के साथ संबद्ध करें। गेस्ट-टू-गेस्ट ट्रैफ़िक को रोकने के लिए गेस्ट नेटवर्क पर क्लाइंट आइसोलेशन सक्षम करें। दूसरा, कंट्रोलर के पास एक वैध FQDN और एक विश्वसनीय SSL सर्टिफिकेट होना चाहिए। IP एड्रेस पर भरोसा न करें। एक उचित डोमेन नाम का उपयोग करें, उस पर Let's Encrypt या व्यावसायिक सर्टिफिकेट प्राप्त करें, और उस सर्टिफिकेट का उपयोग करने के लिए UniFi को कॉन्फ़िगर करें। यह अधिकांश HTTPS रीडायरेक्ट समस्याओं को हल करता है। तीसरा, अपना वॉल्ड गार्डन सावधानी से बनाएं और उसका परीक्षण करें। न्यूनतम प्रविष्टियां हैं: आपका Purple पोर्टल डोमेन और उसकी IP रेंज, iOS, Android और Windows के लिए कैप्टिव पोर्टल डिटेक्शन डोमेन, और आपके द्वारा उपयोग किए जा रहे कोई भी OAuth प्रदाता डोमेन। ऐसे डिवाइस के साथ परीक्षण करें जो पहले कभी नेटवर्क से कनेक्ट नहीं हुआ है — कैश्ड DNS और नेटवर्क स्थिति परीक्षण के दौरान वॉल्ड गार्डन के अंतराल को छिपा सकती है। चौथा, API इंटीग्रेशन के लिए, न्यूनतम आवश्यक अनुमतियों के साथ UniFi नेटवर्क एप्लिकेशन में एक समर्पित स्थानीय एडमिन खाते का उपयोग करें। अपने प्राथमिक एडमिन क्रेडेंशियल्स का उपयोग न करें। यदि आप नेटवर्क एप्लिकेशन 9.1 या बाद के संस्करण पर हैं, तो Control Plane, Integrations के अंतर्गत नए API कुंजी तंत्र का उपयोग करें — यह अधिक सुरक्षित है और इसके लिए क्रेडेंशियल-आधारित ऑथेंटिकेशन की आवश्यकता नहीं होती है। पांचवां, सेशन अवधि पर सावधानी से विचार करें। UniFi का डिफ़ॉल्ट गेस्ट सेशन समाप्त होने का समय आठ घंटे जितना कम हो सकता है। हॉस्पिटैलिटी डिप्लॉयमेंट के लिए जहां मेहमान कई रातें रुक सकते हैं, Purple पोर्टल सेटिंग्स में उपयुक्त सेशन अवधि कॉन्फ़िगर करें, और सुनिश्चित करें कि वे अवधि API ऑथराइजेशन कॉल में सही ढंग से पारित की गई हैं। सबसे आम गलती जो मैं देखता हूँ वह एक ऐसे सेल्फ-होस्टेड कंट्रोलर पर डिप्लॉय करना है जो सार्वजनिक रूप से सुलभ नहीं है। यदि Purple मेहमानों को ऑथराइज करने के लिए आपके कंट्रोलर तक नहीं पहुंच सकता है, तो पोर्टल लोड होगा लेकिन ऑथेंटिकेशन चुपचाप विफल हो जाएगा। लाइव होने से पहले हमेशा Purple के इंफ्रास्ट्रक्चर से API कनेक्टिविटी सत्यापित करें। [रैपिड-फायर प्रश्नोत्तर — लगभग 1 मिनट] क्या यह UniFi Dream Machine Pro पर काम करता है? हाँ। सभी UniFi OS कंसोल — UDM, UDM Pro, UDM SE, UCG Ultra, UCG-Max — External Portal Server कॉन्फ़िगरेशन का समर्थन करते हैं। नेटवर्क एप्लिकेशन डिवाइस पर चलता है। क्या मैं एक ही Purple खाते से कई UniFi साइटों पर Purple का उपयोग कर सकता हूँ? हाँ। Purple का मल्टी-साइट आर्किटेक्चर बिल्कुल इसी के लिए डिज़ाइन किया गया है। प्रत्येक स्थल को Purple में एक अलग साइट के रूप में कॉन्फ़िगर किया गया है, जो संबंधित UniFi साइट पर मैप किया गया है। क्या मुझे UniFi गेटवे पर फ़ायरवॉल पोर्ट खोलने की आवश्यकता है? हाँ। आपको यह सुनिश्चित करना होगा कि गेस्ट VLAN ट्रैफ़िक पोर्ट 443 पर Purple पोर्टल डोमेन तक पहुँच सके। कंट्रोलर API पोर्ट को भी Purple के सर्वर से सुलभ होना चाहिए। Purple के दस्तावेज़ विशिष्ट IP रेंज प्रदान करते हैं। WPA3 के बारे में क्या? UniFi WPA3 Personal और WPA3 Enterprise का समर्थन करता है। कैप्टिव पोर्टल तंत्र गेस्ट नेटवर्क पर WPA3 Personal के साथ काम करता है। WPA3 Enterprise 802.1X और RADIUS का उपयोग करता है, जो एक अलग ऑथेंटिकेशन फ़्लो है। [सारांश और अगले चरण — लगभग 1 मिनट] संक्षेप में: UniFi पर एक बाहरी कैप्टिव पोर्टल के रूप में Purple को डिप्लॉय करना एक अच्छी तरह से समर्थित, आर्किटेक्चरल रूप से मजबूत इंटीग्रेशन है। मुख्य चरण हैं: अपने गेस्ट SSID को आपके Purple पोर्टल URL की ओर इशारा करते हुए External Portal Server विकल्प के साथ कॉन्फ़िगर करें, एक व्यापक वॉल्ड गार्डन बनाएं जो Purple के इंफ्रास्ट्रक्चर और आपके द्वारा उपयोग किए जा रहे किसी भी OAuth प्रदाताओं को कवर करता है, सुनिश्चित करें कि आपके UniFi कंट्रोलर के पास एक वैध SSL सर्टिफिकेट है और यह Purple के API सर्वर से सुलभ है, और अपने स्थल के प्रकार के लिए उपयुक्त सेशन अवधि कॉन्फ़िगर करें। बिजनेस केस सीधा है। इन-बिल्ट UniFi पोर्टल आपको एक स्प्लैश पेज देता है। Purple आपको एक अनुपालन-तैयार, एनालिटिक्स-संचालित गेस्ट अनुभव प्लेटफॉर्म देता है जो आपके CRM के साथ एकीकृत होता है, GDPR सहमति के तहत फर्स्ट-पार्टी डेटा कैप्चर करता है, और फुटफॉल और ड्वेल-टाइम एनालिटिक्स प्रदान करता है जिसकी वास्तव में वेन्यू ऑपरेटरों और मार्केटिंग टीमों को आवश्यकता होती है। यदि आप बड़े पैमाने पर UniFi डिप्लॉय करने वाले MSP या सिस्टम इंटीग्रेटर हैं, तो Purple की मल्टी-साइट प्रबंधन और व्हाइट-लेबल क्षमताएं इसे आपके ग्राहकों के लिए सही ओवरले बनाती हैं। विस्तृत कॉन्फ़िगरेशन दस्तावेज़, वॉल्ड गार्डन IP सूचियों और API इंटीग्रेशन गाइड के लिए, purple.ai पर जाएं। सुनने के लिए धन्यवाद।

📚 Part of our core series: मल्टी-टेनेंट WiFi

header_image.png

कार्यकारी सारांश

चूंकि एंटरप्राइज़ भौतिक स्थल — बड़े पैमाने पर रिटेल चेन [1] और मल्टी-साइट हॉस्पिटैलिटी ग्रुप [2] से लेकर प्रमुख परिवहन हब [3] और शैक्षणिक संस्थानों [4] तक — अपने वायरलेस इंफ्रास्ट्रक्चर के मूल्य को अधिकतम करना चाहते हैं, इसलिए इन-बिल्ट हॉटस्पॉट कंट्रोलर की सीमाएं एक महत्वपूर्ण परिचालन बाधा बन जाती हैं। Ubiquiti UniFi इकोसिस्टम अत्यधिक विश्वसनीय, लागत प्रभावी और स्केलेबल हार्डवेयर प्रदान करता है। हालांकि, इसके नेटिव गेस्ट पोर्टल में आधुनिक एंटरप्राइज़ ऑपरेशन्स के लिए आवश्यक उन्नत डेटा कैप्चर, मल्टी-साइट एनालिटिक्स, CRM इंटीग्रेशन, वैश्विक गोपनीयता अनुपालन (GDPR, CCPA, PCI DSS) और मुद्रीकरण क्षमताओं की कमी है।

यह तकनीकी संदर्भ मार्गदर्शिका Ubiquiti UniFi नेटवर्क आर्किटेक्चर पर Purple's Enterprise WiFi Intelligence Platform [5] को ओवरले करने के लिए एक व्यापक आर्किटेक्चरल वॉकथ्रू प्रदान करती है। UniFi की External Portal Server क्षमता का उपयोग करके, नेटवर्क आर्केटेक्ट और सिस्टम इंटीग्रेटर स्थानीय कंट्रोलर की सीमाओं को बायपास कर सकते हैं। यह इंटीग्रेशन गेस्ट ऑथेंटिकेशन को Purple के सुरक्षित, क्लाउड-होस्टेड आइडेंटिटी और एनालिटिक्स इंजन के माध्यम से रूट करता है, जिससे एक बुनियादी उपयोगिता एंटरप्राइज़-ग्रेड मार्केटिंग और परिचालन संपत्ति में बदल जाती है।

तकनीकी गहन विश्लेषण

एक सुरक्षित और स्थिर बाहरी कैप्टिव पोर्टल को डिप्लॉय करने के लिए, नेटवर्क इंजीनियरों को निम्न-स्तरीय संचार और स्टेट ट्रांज़िशन को समझना होगा जो तब होते हैं जब कोई अनऑथेंटिकेटेड क्लाइंट वायरलेस नेटवर्क से जुड़ता है।

गेस्ट कनेक्शन और रीडायरेक्शन लाइफसाइकिल

UniFi कैप्टिव पोर्टल वर्कफ़्लो एक सख्त स्टेट-आधारित मॉडल पर काम करता है। जब कोई क्लाइंट गेस्ट-सक्षम SSID से जुड़ता है, तो निम्नलिखित क्रमिक प्रक्रिया शुरू होती:

चरण घटक कार्रवाई / स्टेट ट्रांज़िशन तकनीकी तंत्र
1. एसोसिएशन क्लाइंट और एक्सेस पॉइंट क्लाइंट SSID से जुड़ता है; DHCP सर्वर IP एड्रेस, सबनेट मास्क, गेटवे और DNS सर्वर असाइन करता है। मानक 802.11 एसोसिएशन और DHCP लीज।
2. क्वारंटाइन UniFi एक्सेस पॉइंट (AP) AP क्लाइंट MAC एड्रेस को क्वारंटाइन / पेंडिंग स्टेट (authorized: false) में रखता है। AP के वर्चुअल इंटरफ़ेस पर स्थानीय रूप से लागू Layer 2/3 ब्लॉकिंग नियम।
3. DNS इंटरसेप्शन AP लोकल डेमन AP एक स्थानीय DNSmasq प्रोसेस चलाता है जो पेंडिंग क्लाइंट्स से सभी DNS क्वेरी को इंटरसेप्ट करता है। AP क्लाइंट DNS सेटिंग्स की परवाह किए बिना सभी पोर्ट 53 (UDP/TCP) ट्रैफ़िक को अपने स्थानीय DNS रिज़ॉल्वर पर रीडायरेक्ट करता है।
4. HTTP इंटरसेप्शन AP रीडायरेक्टर AP पोर्ट 80 पर एक लाइटवेट HTTP रीडायरेक्टर डेमन चलाता है। क्लाइंट द्वारा की गई किसी भी HTTP रिक्वेस्ट को इंटरसेप्ट किया जाता है। AP HTTP 302 Found रीडायरेक्ट के साथ प्रतिक्रिया देता है।
5. रीडायरेक्शन क्लाइंट ब्राउज़र क्लाइंट के ब्राउज़र (या OS कैप्टिव पोर्टल असिस्टेंट) को कॉन्फ़िगर किए गए बाहरी पोर्टल URL पर रीडायरेक्ट किया जाता है। 302 रीडायरेक्ट URL में क्लाइंट और AP मेटाडेटा वाले महत्वपूर्ण क्वेरी पैरामीटर जोड़े जाते हैं।
6. ऑथेंटिकेशन बाहरी पोर्टल (Purple) क्लाइंट Purple स्प्लैश पेज के साथ इंटरैक्ट करता है, ऑथेंटिकेशन पूरा करता है (जैसे, सोशल लॉगिन, ईमेल रजिस्ट्रेशन, SMS OTP)। Purple के क्लाउड इंफ्रास्ट्रक्चर पर होस्ट किया गया सुरक्षित HTTPS सेशन।
7. API हैंडशेक Purple क्लाउड और UniFi कंट्रोलर Purple क्रेडेंशियल्स को सत्यापित करता है और UniFi नेटवर्क एप्लिकेशन को एक सुरक्षित API कॉल जारी करता है। REST API कॉल (POST रिक्वेस्ट) जिसमें क्लाइंट MAC एड्रेस, साइट ID और सेशन पैरामीटर शामिल होते हैं।
8. ऑथराइजेशन UniFi कंट्रोलर और AP UniFi कंट्रोलर क्लाइंट स्टेट को authorized: true पर अपडेट करता है और अपडेटेड ACL को AP पर भेजता है। AP क्लाइंट MAC एड्रेस के लिए Layer 2/3 ब्लॉक हटा देता है, जिससे इंटरनेट गेटवे पर पूर्ण रूटिंग की अनुमति मिलती है।

रीडायरेक्शन क्वेरी पैरामीटर

जब UniFi AP HTTP 302 रीडायरेक्ट जारी करता है, तो यह बाहरी पोर्टल URL में क्वेरी पैरामीटर का एक मानकीकृत सेट जोड़ता है। क्लाइंट की पहचान करने और बाद के API ऑथराइजेशन को निष्पादित करने के लिए बाहरी पोर्टल को इन पैरामीटर को कैप्चर करना होगा:

https://portal.purplehotspot.com/guest/s/default/?ap=94:2a:6f:d0:30:57&id=1c:71:25:63:e4:24&t=1742398732&url=http://connectivitycheck.gstatic.com%2F&ssid=purple-guest
  • ap: विशिष्ट UniFi एक्सेस पॉइंट का MAC एड्रेस जिससे क्लाइंट जुड़ा हुआ है।
  • id: नेटवर्क एक्सेस का अनुरोध करने वाले क्लाइंट डिवाइस का MAC एड्रेस।
  • t: रीडायरेक्ट शुरू होने के समय का प्रतिनिधित्व करने वाला Unix epoch टाइमस्टैम्प, जिसका उपयोग सुरक्षा सत्यापन के लिए किया जाता है।
  • url: मूल URL जिसे क्लाइंट ने एक्सेस करने का प्रयास किया था (अक्सर एक OS कैप्टिव पोर्टल डिटेक्शन एंडपॉइंट)।
  • ssid: SSID नाम जिससे क्लाइंट कनेक्ट हुआ है, जिससे पोर्टल साइट-विशिष्ट ब्रांडिंग प्रस्तुत कर सकता है।

architecture_overview.png

द वॉल्ड गार्डन (प्री-ऑथराइजेशन एक्सेस कंट्रोल)

क्लाइंट के ऑथराइज होने से पहले, Pre-Authorization Access सूची (आमतौर पर Walled Garden के रूप में संदर्भित) में स्पष्ट रूप से परिभाषित गंतव्यों को छोड़कर सभी ट्रैफ़िक ब्लॉक कर दिया जाता है। चूंकि आधुनिक क्लाइंट डिवाइस स्वचालित कैप्टिव पोर्टल असिस्टेंट (CPAs) चलाते हैं जो HTTPS पर कनेक्टिविटी का परीक्षण करते हैं, और चूंकि बाहरी ऑथेंटिकेशन अक्सर तीसरे पक्ष के आइडेंटिटी प्रोवाइडर्स (IdPs) पर निर्भर करता है, इसलिए एक मजबूत और सटीक वॉल्ड गार्डन को कॉन्फ़िगर करना महत्वपूर्ण है।

यदि वॉल्ड गार्डन से कोई आवश्यक डोमेन या IP रेंज छूट जाती है, तो स्प्लैश पेज लोड होने में विफल हो जाएगा, सोशल लॉगिन बटन फ्रीज हो जाएंगे, या क्लाइंट डिवाइस नेटवर्क खराब मानकर WiFi कनेक्शन को पूरी तरह से छोड़ देगा।

कार्यान्वयन मार्गदर्शिका

यह अनुभाग Purple के बाहरी कैप्टिव पोर्टल को Ubiquiti UniFi नेटवर्क एप्लिकेशन (कंट्रोलर) के साथ एकीकृत करने के लिए आवश्यक चरण-दर-चरण कॉन्फ़िगरेशन की रूपरेखा तैयार करता है।

चरण 1: नेटवर्क सेगमेंटेशन और VLAN कॉन्फ़िगरेशन

एंटरप्राइज़-ग्रेड सुरक्षा और अनुपालन (जैसे PCI DSS और GDPR) सुनिश्चित करने के लिए, गेस्ट ट्रैफ़िक को कॉर्पोरेट संसाधनों, POS सिस्टम और IoT नेटवर्क से पूरी तरह से अलग किया जाना चाहिए।

  1. UniFi नेटवर्क एप्लिकेशन में Settings > Networks पर जाएं।
  2. Create New Network पर क्लिक करें।
  3. नेटवर्क सेटिंग्स को निम्नानुसार कॉन्फ़िगर करें:
    • Name: Purple Guest Network
    • VLAN ID: 90 (या कोई भी समर्पित गेस्ट VLAN टैग)
    • Network Type: Guest (यह स्वचालित रूप से क्लाइंट आइसोलेशन लागू करता है, जिससे गेस्ट-टू-गेस्ट संचार रुक जाता है)।
    • Gateway IP/Subnet: एक उपयुक्त सबनेट कॉन्फ़िगर करें (जैसे, 1022 समवर्ती गेस्ट लीज तक का समर्थन करने के लिए 10.90.0.1/22)।
    • DHCP Range: DHCP सक्षम करें और रेंज परिभाषित करें (जैसे, 10.90.0.10 से 10.90.3.254)।
    • DNS Server: तेज़ DNS रिज़ॉल्यूशन सुनिश्चित करने के लिए विश्वसनीय सार्वजनिक रिज़ॉल्वर (जैसे, Cloudflare 1.1.1.1 और Google 8.8.8.8) पर सेट करें।

चरण 2: गेस्ट SSID कॉन्फ़िगरेशन

  1. Settings > WiFi पर जाएं और Create New WiFi Network पर क्लिक करें।
  2. SSID पैरामीटर कॉन्फ़िगर करें:
    • Name (SSID): Purple Guest WiFi
    • Security Protocol: Open (कैप्टिव पोर्टल ऑथेंटिकेशन को संभालेगा)।
    • Network: चरण 1 में बनाए गए Purple Guest Network (VLAN 90) का चयन करें।
    • Client Device Isolation: सुनिश्चित करें कि यह ON पर टॉगल किया गया है।
  3. नीचे Hotspot Portal पर स्क्रॉल करें और Enable Captive Portal बॉक्स को चेक करें।

चरण 3: बाहरी पोर्टल सर्वर को कॉन्फ़िगर करना

एक बार हॉटस्पॉट पोर्टल सक्षम हो जाने पर, आपको ऑथेंटिकेशन को Purple के सुरक्षित क्लाउड सर्वर पर रीडायरेक्ट करना होगा।

  1. Settings > Profiles > Guest Hotspot (या पुराने कंट्रोलर संस्करणों में Settings > Guest Control) पर जाएं।
  2. Authentication के अंतर्गत, External Portal Server चुनें।
  3. निम्नलिखित फ़ील्ड कॉन्फ़िगर करें:
    • IP / FQDN: Purple द्वारा प्रदान किया गया FQDN दर्ज करें (जैसे, portal.purplehotspot.com)।
    • Use Secure Portal (HTTPS): ON पर टॉगल करें (सुरक्षा और आधुनिक ब्राउज़र संगतता के लिए अनिवार्य)।
    • Redirect Using Hostname: ON पर टॉगल करें और FQDN portal.purplehotspot.com दर्ज करें।
    • Port: 443 (मानक HTTPS)।
    • HTTPS Redirection: ON पर टॉगल करें (यह AP को प्रारंभिक HTTPS अनुरोधों को इंटरसेप्ट करने और उन्हें रीडायरेक्ट करने की अनुमति देता है, हालांकि इसके लिए सावधानीपूर्वक DNS प्रबंधन की आवश्यकता होती है)।

चरण 4: प्री-ऑथराइजेशन एक्सेस (वॉल्ड गार्डन) कॉन्फ़िगर करना

अनऑथेंटिकेटेड मेहमानों को Purple स्प्लैश पेज लोड करने और तीसरे पक्ष के IdPs के माध्यम से ऑथेंटिकेट करने की अनुमति देने के लिए, Settings > Profiles > Guest Hotspot > Pre-Authorization Access के अंतर्गत Pre-Authorization Access सूची में निम्नलिखित डोमेन और IP रेंज जोड़ें:

[
  "portal.purplehotspot.com",
  "*.purple.ai",
  "*.purplehotspot.com",
  "accounts.google.com",
  "ssl.gstatic.com",
  "*.googleapis.com",
  "*.facebook.com",
  "*.facebook.net",
  "*.fbcdn.net",
  "*.apple.com",
  "captive.apple.com",
  "connectivitycheck.gstatic.com",
  "*.microsoft.com",
  "*.live.com"
]

नोट: Stripe भुगतान प्रोसेसिंग का उपयोग करने वाले डिप्लॉयमेंट के लिए, प्री-ऑथराइजेशन सूची में *.stripe.com और *.stripe.network जोड़ें।

चरण 5: API हैंडशेक स्थापित करना

Purple द्वारा मेहमानों को ऑथराइज करने के लिए, इसके क्लाउड सर्वर को आपके UniFi नेटवर्क एप्लिकेशन के साथ संचार करना होगा।

UniFi नेटवर्क एप्लिकेशन 9.1 और बाद के संस्करणों के लिए (अनुशंसित REST API)

  1. UniFi कंट्रोलर में, Settings > Control Plane > Integrations पर जाएं।
  2. API Keys अनुभाग के अंतर्गत, Generate New API Key पर क्लिक करें।
  3. एक नाम असाइन करें (जैसे, Purple Integration Key) और अनुमतियों को Administrator पर सेट करें।
  4. जेनरेट की गई API Key को कॉपी करें।
  5. अपने Purple Portal में लॉग इन करें, Venue Settings > Integration > Ubiquiti UniFi पर जाएं, और अपनी UniFi कंट्रोलर के सार्वजनिक FQDN (जैसे, unifi.yourdomain.com:443) के साथ API Key पेस्ट करें।

लीगेसी कंट्रोलर्स के लिए (क्रेडेंशियल-आधारित API)

  1. Settings > System > Admins पर जाएं।
  2. एक समर्पित स्थानीय एडमिनिस्ट्रेटर खाता बनाएं (जैसे, purple_api)।
  3. Administrator या Hotspot Operator विशेषाधिकार असाइन करें।
  4. एक मजबूत, अद्वितीय पासवर्ड कॉन्फ़िगर करें।
  5. Purple पोर्टल में, UniFi इंटीग्रेशन टैब के अंतर्गत ये क्रेडेंशियल्स दर्ज करें।

सर्वोत्तम प्रथाएं

1. SSL सर्टिफिकेट आवश्यकताएं

प्रोडक्शन UniFi कंट्रोलर या बाहरी पोर्टल सर्वर पर कभी भी सेल्फ-साइन किए गए SSL सर्टिफिकेट का उपयोग न करें। आधुनिक वेब ब्राउज़र और ऑपरेटिंग सिस्टम कैप्टिव पोर्टल असिस्टेंट (CPAs) सख्त SSL/TLS सत्यापन लागू करते हैं। एक सेल्फ-साइन किया गया सर्टिफिकेट अत्यधिक दृश्यमान सुरक्षा चेतावनी (जैसे, "आपका कनेक्शन निजी नहीं है") को ट्रिगर करेगा, जिससे उच्च परित्याग दर और ब्रांड को नुकसान होगा।

  • UniFi कंट्रोलर के FQDN पर एक वैध, सार्वजनिक रूप से विश्वसनीय SSL सर्टिफिकेट (जैसे, Let's Encrypt या एक व्यावसायिक CA सर्टिफिकेट) डिप्लॉय करें।
  • सुनिश्चित करें कि कंट्रोलर का FQDN आंतरिक गेस्ट VLAN और सार्वजनिक इंटरनेट दोनों से सही ढंग से रिज़ॉल्व होता है।

2. DNS कॉन्फ़िगरेशन

धीमा DNS रिज़ॉल्यूशन सुस्त कैप्टिव पोर्टल रीडायरेक्शन का प्राथमिक कारण है।

  • गेस्ट DNS को UniFi गेटवे के स्थानीय IP पर तब तक इंगित न करें जब तक कि गेटवे में उच्च-प्रदर्शन DNS फ़ॉरवर्डिंग कॉन्फ़िगर न हो।
  • इसके बजाय, क्लाइंट्स को सीधे तेज़, लचीले सार्वजनिक DNS सर्वर वितरित करने के लिए गेस्ट DHCP स्कोप को कॉन्फ़िगर करें (जैसे, प्राथमिक: 1.1.1.1, द्वितीयक: 8.8.8.8)।

3. RADIUS गेस्ट WiFi कॉन्फ़िगरेशन (एंटरप्राइज़ विकल्प)

वेब पोर्टल के साथ एक ओपन SSID के बजाय सर्टिफिकेट-आधारित या क्रेडेंशियल-आधारित 802.1X सुरक्षा की आवश्यकता वाले स्थलों के लिए, UniFi बाहरी क्लाउड RADIUS इंटीग्रेशन [6] का समर्थन करता है।

  • Settings > Profiles > RADIUS के अंतर्गत एक RADIUS Profile कॉन्फ़िगर करें।
  • Purple द्वारा प्रदान किए गए प्राथमिक और द्वितीयक RADIUS सर्वर IP और साझा रहस्य दर्ज करें।
  • वास्तविक समय सत्र ट्रैकिंग सुनिश्चित करने के लिए RADIUS Accounting सक्षम करें और Interim Update Interval को 300 सेकंड पर सेट करें।
  • SSID सेटिंग्स के अंतर्गत, सुरक्षा प्रोटोकॉल को WPA2 Enterprise या WPA3 Enterprise [7] पर सेट करें और RADIUS प्रोफ़ाइल का चयन करें।

comparison_chart.png

समस्या निवारण और जोखिम शमन

बाहरी कैप्टिव पोर्टल डिप्लॉय करते समय, नेटवर्क एडमिनिस्ट्रेटर अक्सर कई सामान्य विफलता मोड का सामना करते हैं। नीचे दी गई तालिका इन समस्याओं, उनके मूल कारणों और सटीक शमन चरणों का विवरण देती है:

लक्षण मूल कारण विश्लेषण सुधारात्मक कार्रवाई और शमन
सफेद स्क्रीन / पोर्टल लोड होने में विफल क्लाइंट डिवाइस बाहरी पोर्टल सर्वर के FQDN को रिज़ॉल्व या उस तक नहीं पहुंच सकता है। 1. सत्यापित करें कि portal.purplehotspot.com प्री-ऑथराइजेशन एक्सेस सूची में है।
2. सुनिश्चित करें कि गेस्ट क्लाइंट को DHCP के माध्यम से एक वैध IP और DNS सर्वर प्राप्त हुआ है।
3. पोर्टल FQDN के रिज़ॉल्यूशन को सत्यापित करने के लिए क्लाइंट डिवाइस पर DNS लुकअप करें।
"कनेक्शन निजी नहीं है" SSL त्रुटि UniFi कंट्रोलर एक सेल्फ-साइन किए गए सर्टिफिकेट का उपयोग कर रहा है, या रीडायरेक्शन FQDN SSL सर्टिफिकेट के सामान्य नाम से मेल नहीं खाता है। 1. UniFi कंट्रोलर पर एक सार्वजनिक रूप से विश्वसनीय SSL सर्टिफिकेट इंस्टॉल करें।
2. सत्यापित करें कि Redirect Using Hostname सक्षम है और सर्टिफिकेट पर FQDN से बिल्कुल मेल खाता है।
3. AP को पोर्ट 443 पर HTTPS ट्रैफ़िक को इंटरसेप्ट करने की कोशिश करने से रोकने के लिए UniFi गेस्ट कंट्रोल सेटिंग्स में "Redirect HTTPS" को अक्षम करें, जो स्वाभाविक रूप से SSL चेतावनियों को ट्रिगर करता है।
ऑथेंटिकेशन सफल होता है, लेकिन इंटरनेट ब्लॉक रहता है Purple क्लाउड उपयोगकर्ता को ऑथेंटिकेट करने में सक्षम था, लेकिन UniFi कंट्रोलर पर क्लाइंट MAC एड्रेस को ऑथराइज करने के लिए API कॉल विफल रही। 1. यह सुनिश्चित करने के लिए फ़ायरवॉल नियमों की जाँच करें कि Purple की IP रेंज से UniFi कंट्रोलर के लिए पोर्ट 443 (या लीगेसी के लिए 8443) इनबाउंड खुला है।
2. सत्यापित करें कि Purple पोर्टल में दर्ज की गई API Key या स्थानीय एडमिन क्रेडेंशियल्स वैध हैं और उनके पास एडमिनिस्ट्रेटर अनुमतियां हैं।
3. API ऑथेंटिकेशन विफलताओं के लिए UniFi कंट्रोलर लॉग (server.log) की जाँच करें।
सोशल लॉगिन (जैसे, Google) बटन काम करने में विफल IdP के ऑथेंटिकेशन डोमेन AP की एक्सेस कंट्रोल सूची द्वारा ब्लॉक कर दिए गए हैं। 1. विशिष्ट IdP के लिए पूर्ण वाइल्डकार्ड डोमेन को प्री-ऑथराइजेशन एक्सेस सूची में जोड़ें (जैसे, *.google.com, *.googleapis.com)।
2. यदि Facebook का उपयोग कर रहे हैं, तो सुनिश्चित करें कि Facebook SDK डोमेन पूरी तरह से श्वेतसूची में हैं।
बार-बार डिस्कनेक्शन / री-ऑथेंटिकेशन संकेत UniFi कंट्रोलर सेशन टाइमआउट Purple सेशन अवधि से छोटा है, या DHCP लीज का समय बहुत कम है। 1. UniFi गेस्ट हॉटस्पॉट Session Timeout सेटिंग को Purple सेशन नीति (जैसे, 24 घंटे) के साथ संरेखित करें।
2. IP एड्रेस की कमी और मिड-सेशन री-ऑथेंटिकेशन को रोकने के लिए गेस्ट VLAN पर DHCP लीज समय को कम से कम 12 या 24 घंटे तक बढ़ाएं।

ROI और व्यावसायिक प्रभाव

यद्यपि एक बाहरी कैप्टिव पोर्टल को डिप्लॉय करने के लिए सावधानीपूर्वक नेटवर्क इंजीनियरिंग की आवश्यकता होती है, लेकिन व्यावसायिक परिणाम और निवेश पर रिटर्न (ROI) प्रारंभिक कार्यान्वयन जटिलता से कहीं अधिक मूल्यवान हैं।

एंटरप्राइज़ डेटा कैप्चर और CRM संवर्धन

नेटिव UniFi गेस्ट पोर्टल एक "अंधा" उपयोगिता है; यह उपयोगकर्ता की पहचान कैप्चर किए बिना इंटरनेट एक्सेस प्रदान करता है। Purple को ओवरले करके, स्थल पूरी तरह से GDPR और CCPA-अनुपालन तरीके से मूल्यवान फर्स्ट-पार्टी डेटा (ईमेल, फोन नंबर, सोशल प्रोफाइल) कैप्चर कर सकते हैं। यह डेटा स्वचालित रूप से वास्तविक समय में CRM सिस्टम, मार्केटिंग प्लेटफॉर्म (जैसे, Salesforce, HubSpot, Mailchimp) और लॉयल्टी कार्यक्रमों के साथ सिंक्रोनाइज़ हो जाता है, जिससे अत्यधिक लक्षित मार्केटिंग अभियान सक्षम होते हैं जो बार-बार आने वाले विज़िट और ग्राहक लाइफटाइम वैल्यू को बढ़ाते हैं।

मल्टी-साइट प्रबंधन और व्हाइट-लेबलिंग

मैनेज्ड सर्विस प्रोवाइडर्स (MSPs) और मल्टी-साइट एंटरप्राइज़ ऑपरेटरों के लिए, व्यक्तिगत UniFi कंट्रोलर्स के माध्यम से सैकड़ों स्थलों पर गेस्ट WiFi का प्रबंधन करना अत्यधिक अक्षम है। Purple अंतर्निहित UniFi कंट्रोलर वितरण की परवाह किए बिना, वैश्विक स्तर पर सभी स्थलों पर स्प्लैश पेज, अनुपालन शर्तों और एनालिटिक्स को प्रबंधित करने के लिए एक एकल, केंद्रीकृत क्लाउड डैशबोर्ड प्रदान करता है।

वास्तविक समय एनालिटिक्स और स्थानिक इंटेलिजेंस

Purple UniFi वायरलेस नेटवर्क को एक शक्तिशाली सेंसर एरे में बदल देता है। प्रोब रिक्वेस्ट और कनेक्शन मेटाडेटा का विश्लेषण करके, Purple गहरी स्थानिक इंटेलिजेंस प्रदान करता है, जिसमें शामिल हैं:

  • फुटफॉल एनालिटिक्स: कुल विज़िटर, पास-बाय ट्रैफ़िक और कन्वर्शन दरें (प्रवेश करने के लिए पास-बाय)।
  • ड्वेल टाइम: विज़िट की औसत अवधि, ग्राहक प्रकार (नए बनाम लौटने वाले) द्वारा खंडित।
  • रीसेंसी और फ्रीक्वेंसी: ग्राहक कितनी बार लौटते हैं और विज़िट के बीच बीता हुआ समय।
  • वेन्यू हीटमैप: विज़िटर प्रवाह और घनत्व का दृश्य प्रतिनिधित्व, जिससे रिटेल और वेन्यू ऑपरेटरों को लेआउट और स्टाफिंग को अनुकूलित करने में मदद मिलती है।

रिटेल मीडिया नेटवर्क के माध्यम से मुद्रीकरण

स्टेडियम, शॉपिंग मॉल और हवाई अड्डों जैसे बड़े स्थलों के लिए, कैप्टिव पोर्टल स्प्लैश पेज अत्यधिक मूल्यवान डिजिटल रियल एस्टेट का प्रतिनिधित्व करता है। Purple स्थलों को रिटेल मीडिया नेटवर्क के साथ एकीकृत करके, कनेक्शन के समय सीधे मेहमानों को लक्षित प्रोग्रामेटिक विज्ञापन, प्रायोजित लॉगिन अनुभव और स्थानीयकृत प्रचार परोसकर इस स्थान का मुद्रीकरण करने में सक्षम बनाता है।

संदर्भ

मुख्य परिभाषाएं

कैप्टिव पोर्टल

एक वेब पेज जो गेस्ट के प्रारंभिक नेटवर्क कनेक्शन को इंटरसेप्ट करता है और पूर्ण इंटरनेट एक्सेस देने से पहले ऑथेंटिकेशन, रजिस्ट्रेशन या शर्तों की स्वीकृति की आवश्यकता होती है।

एक ओपन गेस्ट SSID से कनेक्ट होने पर तुरंत सामना होता है; AP रीडायरेक्टर और बाहरी पोर्टल सर्वर द्वारा प्रबंधित।

External Portal Server

एक तीसरे पक्ष का वेब एप्लिकेशन (जैसे कि Purple) जो गेस्ट स्प्लैश पेज को होस्ट करता है और उपयोगकर्ता ऑथेंटिकेशन को संभालता है, जिससे इन-बिल्ट कंट्रोलर की पोर्टल सीमाओं को बायपास किया जा सकता है।

नेटिव UniFi लैंडिंग पेज को बदलने के लिए UniFi गेस्ट हॉटस्पॉट सेटिंग्स में कॉन्फ़िगर किया गया।

Walled Garden (Pre-Authorization Access)

डोमेन, सबडोमेन या IP पतों की एक श्वेतसूची जिसे अनऑथेंटिकेटेड क्लाइंट कैप्टिव पोर्टल लॉगिन प्रक्रिया को पूरा करने से पहले एक्सेस कर सकते हैं।

पोर्टल पेज को लोड करने, CSS/JS एसेट्स और तीसरे पक्ष के OAuth लॉगिन एंडपॉइंट्स के लिए आवश्यक।

DNSmasq

प्री-ऑथराइजेशन स्थिति के दौरान गेस्ट DNS प्रश्नों को इंटरसेप्ट और रीडायरेक्ट करने के लिए UniFi एक्सेस पॉइंट्स पर स्थानीय रूप से चलाया जाने वाला एक लाइटवेट DNS फ़ॉरवर्डर और DHCP सर्वर।

प्रारंभिक DNS रीडायरेक्शन को संभालता है जो क्लाइंट डिवाइसों को उनके इन-बिल्ट कैप्टिव पोर्टल असिस्टेंट को ट्रिगर करने के लिए मजबूर करता है।

API Authorization Handshake

वह प्रक्रिया जहां बाहरी पोर्टल सर्वर (Purple) क्लाइंट MAC एड्रेस को 'क्वारंटाइन' से 'ऑथराइज्ड' में बदलने के लिए UniFi कंट्रोलर को एक सुरक्षित API कॉल वापस करता है।

उपयोगकर्ता द्वारा स्प्लैश पेज पर लॉगिन फ़्लो को सफलतापूर्वक पूरा करने के तुरंत बाद होता है।

Client Device Isolation

एक सुरक्षा विशेषता जो एक ही SSID या VLAN पर वायरलेस क्लाइंट्स को एक दूसरे के साथ संवाद करने से रोकती है, जिससे स्थानीय नेटवर्क हमलों के जोखिम को कम किया जा सकता है।

गेस्ट गोपनीयता की रक्षा करने और स्थल के नेटवर्क को सुरक्षित करने के लिए UniFi WiFi और नेटवर्क सेटिंग्स में सक्षम।

RADSEC (RADIUS over TLS)

एक प्रोटोकॉल जो RADIUS ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक को एक सुरक्षित TLS टनल में लपेटकर सुरक्षित करता है, जिससे सार्वजनिक नेटवर्क पर ईव्सड्रॉपिंग और छेड़छाड़ को रोका जा सकता है।

WPA2/WPA3 Enterprise का उपयोग करके सुरक्षित मल्टी-साइट एंटरप्राइज़ डिप्लॉयमेंट के लिए UniFi नेटवर्क 8.4+ में समर्थित।

CPA (Captive Portal Assistant)

iOS, Android, Windows और macOS पर एक इन-बिल्ट ऑपरेटिंग सिस्टम उपयोगिता जो एक ज्ञात HTTP/HTTPS एंडपॉइंट को लाने का प्रयास करके स्वचालित रूप से एक कैप्टिव पोर्टल का पता लगाती है।

कनेक्शन के तुरंत बाद उपयोगकर्ता के डिवाइस पर 'Sign in to WiFi' पॉपअप विंडो को ट्रिगर करता है।

हल किए गए उदाहरण

AWS पर 150 UniFi APs और एक सेल्फ-होस्टेड UniFi नेटवर्क एप्लिकेशन वाले एक उच्च-फुटफॉल शॉपिंग मॉल को Purple डिप्लॉय करने की आवश्यकता है। IT टीम गेस्ट ऑथेंटिकेशन के लिए Google और Facebook सोशल लॉगिन का उपयोग करना चाहती है। हालांकि, प्रारंभिक परीक्षण के दौरान, सोशल लॉगिन बटन पर क्लिक करने वाले मेहमानों को एक खाली स्क्रीन या DNS रिज़ॉल्यूशन त्रुटि का सामना करना पड़ता है।

यह समस्या एक प्रतिबंधात्मक वॉल्ड गार्डन (Pre-Authorization Access) के कारण होती है जो गेस्ट के डिवाइस को ऑथराइज होने से पहले Google और Facebook के ऑथेंटिकेशन एंडपॉइंट्स को रिज़ॉल्व करने या उन तक पहुंचने से रोकता है। इसे हल करने के लिए, नेटवर्क एडमिनिस्ट्रेटर को UniFi नेटवर्क एप्लिकेशन में लॉग इन करना होगा, Settings > Profiles > Guest Hotspot पर जाना होगा, और Pre-Authorization Access अनुभाग का विस्तार करना होगा। उन्हें Google और Facebook आइडेंटिटी प्रोवाइडर्स के लिए पूर्ण वाइल्डकार्ड डोमेन जोड़ने होंगे। Google के लिए, इसमें accounts.google.com, ssl.gstatic.com और *.googleapis.com शामिल हैं। Facebook के लिए, इसके लिए *.facebook.com, *.facebook.net और *.fbcdn.net की आवश्यकता होती है। इसके अतिरिक्त, सुनिश्चित करें कि गेस्ट नेटवर्क के DHCP स्कोप को स्थानीय UniFi गेटवे पर इंगित करने के बजाय सीधे क्लाइंट्स को तेज़, सार्वजनिक DNS सर्वर (जैसे, 1.1.1.1 और 8.8.8.8) वितरित करने के लिए कॉन्फ़िगर किया गया है, जो प्री-ऑथराइजेशन DNS क्वेरी के लिए एक बाधा बन सकता है।

परीक्षक की टिप्पणी: यह एक क्लासिक 'वॉल्ड गार्डन गैप' विफलता है। चूंकि सोशल लॉगिन फ़्लो कई सबडोमेन में जटिल OAuth रीडायरेक्ट पर निर्भर करते हैं, इसलिए एक भी एसेट डिलीवरी डोमेन (जैसे Facebook का CDN `fbcdn.net`) को छोड़ने से पेज रेंडरिंग टूट जाएगी। नेटवर्क आर्किटेक्ट्स को हमेशा वाइल्डकार्ड (`*.domain.com`) का उपयोग करना चाहिए जहां कंट्रोलर द्वारा समर्थित हो, और श्वेतसूची में शामिल डोमेन के खिलाफ `nslookup` या `dig` जैसे मानक टूल का उपयोग करके एक अनऑथेंटिकेटेड क्लाइंट से DNS रिज़ॉल्यूशन को सत्यापित करना चाहिए।

एक MSP 50 बुटीक होटलों की एक श्रृंखला में Purple डिप्लॉय कर रहा है। प्रत्येक होटल में साइट पर एक स्थानीय UniFi Cloud Gateway Max है। MSP एक ही Purple खाते से सभी साइटों को प्रबंधित करना चाहता है, लेकिन सुरक्षा को लेकर चिंतित है और इस बात को लेकर भी कि Purple का क्लाउड गेस्ट MAC एड्रेस को ऑथराइज करने के लिए व्यक्तिगत स्थानीय कंट्रोलर्स के साथ कैसे संवाद करेगा, क्योंकि स्थानीय गेटवे NAT के साथ डायनेमिक सार्वजनिक IPs के पीछे हैं।

इष्टतम आर्किटेक्चर डायनेमिक DNS (DDNS) के साथ संयुक्त इनबाउंड पोर्ट फ़ॉरवर्डिंग या रिवर्स प्रॉक्सी के साथ UniFi के आधिकारिक REST API का उपयोग करता है। प्रत्येक होटल के लिए: 1) Cloud Gateway Max पर एक DDNS होस्टनाम कॉन्फ़िगर करें (जैसे, hotel01.mspdomain.com) ताकि गेटवे का सार्वजनिक IP हमेशा ट्रैक करने योग्य हो। 2) स्थानीय गेटवे के प्रबंधन IP पर पोर्ट 443 पर इनबाउंड HTTPS ट्रैफ़िक को एक उच्च, गैर-मानक पोर्ट (जैसे, 10443) पर अग्रेषित करने के लिए गेटवे पर एक पोर्ट फ़ॉरवर्डिंग नियम सेट करें। 3) UniFi कंट्रोलर में, Settings > Control Plane > Integrations पर जाएं और एक अद्वितीय API Key जेनरेट करें। 4) Purple पोर्टल में, Ubiquiti UniFi इंटीग्रेशन का चयन करते हुए, प्रत्येक होटल के लिए एक अद्वितीय 'Venue' कॉन्फ़िगर करें। अग्रेषित पोर्ट (जैसे, hotel01.mspdomain.com:10443) के साथ अद्वितीय DDNS पता और उस साइट के लिए जेनरेट की गई विशिष्ट API Key दर्ज करें। अंत में, स्रोत IPs को Purple की सार्वजनिक क्लाउड IP श्रेणियों तक सीमित करके प्रत्येक गेटवे पर इनबाउंड पोर्ट फ़ॉरवर्डिंग को सुरक्षित करें, जिससे शेष इंटरनेट से अनधिकृत पहुंच को रोका जा सके।

परीक्षक की टिप्पणी: पोर्ट फ़ॉरवर्डिंग के लिए एक उच्च, गैर-मानक पोर्ट का उपयोग करना, केवल Purple के क्लाउड IP ब्लॉक की अनुमति देने के लिए सख्त स्रोत IP व्हाइटलिस्टिंग के साथ संयुक्त, सार्वजनिक इंटरनेट पर कंट्रोलर के API पोर्ट को उजागर करने के सुरक्षा जोखिमों को कम करता है। यह आर्किटेक्चर मजबूत, वास्तविक समय MAC ऑथराइजेशन क्षमताओं को बनाए रखते हुए प्रत्येक साइट पर महंगे स्थिर सार्वजनिक IPs की आवश्यकता से बचाता है।

अभ्यास प्रश्न

Q1. एक नेटवर्क एडमिनिस्ट्रेटर ने UniFi गेस्ट नेटवर्क पर एक बाहरी कैप्टिव पोर्टल कॉन्फ़िगर किया है। परीक्षण के दौरान, वे देखते हैं कि कैप्टिव पोर्टल स्प्लैश पेज सफलतापूर्वक लोड हो जाता है, लेकिन गेस्ट द्वारा अपना ईमेल पता दर्ज करने और 'Connect' पर क्लिक करने के बाद, ब्राउज़र हैंग हो जाता है और अंततः टाइमआउट त्रुटि दिखाता है। क्लाइंट क्वारंटाइन रहता है। इस समस्या का सबसे संभावित कारण क्या है, और इसकी जांच कैसे की जानी चाहिए?

संकेत: पोर्टल पेज लोड हो गया, जिसका अर्थ है कि DNS और वॉल्ड गार्डन काम कर रहे हैं। विफलता गेस्ट द्वारा अपने क्रेडेंशियल्स सबमिट करने के *बाद* होती है।

मॉडल उत्तर देखें

सबसे संभावित कारण Purple क्लाउड और UniFi कंट्रोलर के बीच API ऑथराइजेशन हैंडशेक में विफलता है। चूंकि पोर्टल पेज लोड हो गया था और गेस्ट इसके साथ इंटरैक्ट करने में सक्षम था, इसलिए DNS और Pre-Authorization Access (Walled Garden) कॉन्फ़िगरेशन सही हैं। हालांकि, जब गेस्ट ऑथेंटिकेशन पूरा करता है, तो Purple क्लाइंट के MAC एड्रेस को ऑथराइज करने के लिए UniFi कंट्रोलर को एक सुरक्षित REST API कॉल (POST रिक्वेस्ट) भेजने का प्रयास करता है। यदि UniFi कंट्रोलर फ़ायरवॉल, NAT के पीछे है, या उचित पोर्ट फ़ॉरवर्डिंग के बिना एक निजी नेटवर्क पर है, या यदि API क्रेडेंशियल्स (या API Key) गलत हैं, तो ऑथराइजेशन अनुरोध विफल हो जाएगा या टाइमआउट हो जाएगा। जांच करने के लिए: 1) सत्यापित करें कि UniFi कंट्रोलर का FQDN और पोर्ट Purple की IP श्रेणियों से सार्वजनिक रूप से सुलभ हैं। 2) UniFi कंट्रोलर की सुरक्षा करने वाले गेटवे पर इनबाउंड फ़ायरवॉल नियमों की जाँच करें ताकि यह सुनिश्चित हो सके कि पोर्ट 443 (या 8443) खुला है। 3) Purple पोर्टल में, सत्यापित करें कि UniFi इंटीग्रेशन सेटिंग्स में सही API Key या एडमिनिस्ट्रेटर क्रेडेंशियल्स हैं और कंट्रोलर URL सटीक है। 4) Purple के IPs से आने वाले किसी भी कनेक्शन के प्रयासों या API ऑथेंटिकेशन त्रुटियों के लिए UniFi कंट्रोलर की server.log फ़ाइल का निरीक्षण करें।

Q2. एक एंटरप्राइज़ डिप्लॉयमेंट के लिए बाहरी कैप्टिव पोर्टल के साथ एक गेस्ट नेटवर्क स्थापित करने की आवश्यकता होती है। नेटवर्क आर्किटेक्ट क्रेडेंशियल स्निफिंग को रोकने के लिए सभी कैप्टिव पोर्टल ट्रैफ़िक के लिए HTTPS का उपयोग करना चाहता है। वे UniFi में 'Use Secure Portal (HTTPS)' और 'Redirect Using Hostname' को सक्षम करते हैं, जो बाहरी पोर्टल FQDN की ओर इशारा करता है। हालांकि, जब क्लाइंट कनेक्ट होते हैं, तो उनके ब्राउज़र तुरंत एक गंभीर 'SSL Certificate Common Name Mismatch' या 'Certificate Not Trusted' चेतावनी प्रदर्शित करते हैं, जिससे एक्सेस ब्लॉक हो जाता है। इसे कैसे हल किया जा सकता है?

संकेत: इस बारे में सोचें कि कौन सा डिवाइस प्रारंभिक रीडायरेक्ट की सेवा दे रहा है और यह क्लाइंट को कौन सा SSL सर्टिफिकेट प्रस्तुत कर रहा है।

मॉडल उत्तर देखें

यह समस्या इसलिए होती है क्योंकि UniFi एक्सेस पॉइंट या कंट्रोलर क्लाइंट से HTTPS अनुरोध को इंटरसेप्ट करने और उसे कैप्टिव पोर्टल पर रीडायरेक्ट करने का प्रयास कर रहा है। जब कोई क्लाइंट कनेक्ट होता है और HTTPS वेबसाइट (जैसे, https://www.google.com) पर जाने का प्रयास करता है, तो AP का रीडायरेक्टर ट्रैफ़िक को इंटरसेप्ट करता है। HTTPS पर रीडायरेक्ट करने के लिए, AP को एक SSL सर्टिफिकेट प्रस्तुत करना होगा। चूंकि AP के पास www.google.com के लिए एक वैध SSL सर्टिफिकेट नहीं है, इसलिए क्लाइंट का ब्राउज़र मैन-इन-द-मिडिल (MITM) स्थिति का पता लगाता है और एक गंभीर SSL चेतावनी देता है। इसे हल करने के लिए: 1) सुनिश्चित करें कि UniFi कंट्रोलर के पास अपने कॉन्फ़िगर किए गए FQDN से मेल खाने वाला एक वैध, सार्वजनिक रूप से विश्वसनीय SSL सर्टिफिकेट इंस्टॉल है। 2) UniFi गेस्ट नेटवर्क सेटिंग्स में, 'Redirect HTTPS' को अक्षम करें (केवल HTTP रीडायरेक्शन सक्षम छोड़ें)। यह AP को HTTPS ट्रैफ़िक को इंटरसेप्ट करने का प्रयास करने से रोकता है। इसके बजाय, नेटवर्क क्लाइंट डिवाइस के ऑपरेटिंग सिस्टम कैप्टिव पोर्टल असिस्टेंट (CPA) पर भरोसा करेगा, जो सादे HTTP एंडपॉइंट्स (जैसे, http://captive.apple.com या http://connectivitycheck.gstatic.com) का उपयोग करके कनेक्टिविटी का परीक्षण करता है। AP पोर्ट 80 पर इन HTTP अनुरोधों को सुरक्षित रूप से इंटरसेप्ट कर सकता है और बिना किसी ब्राउज़र SSL चेतावनी को ट्रिगर किए उन्हें Purple पोर्टल के सुरक्षित HTTPS URL (https://portal.purplehotspot.com) पर रीडायरेक्ट कर सकता है।

Q3. एक होटल श्रृंखला अपने VIP गेस्ट नेटवर्क के लिए WPA3-Enterprise सुरक्षा डिप्लॉय करना चाहती है और साथ ही Purple के एनालिटिक्स प्लेटफॉर्म के साथ इंटीग्रेशन भी बनाए रखना चाहती है। स्थानीय IT टीम अनिश्चित है कि क्या वे WPA3-Enterprise के साथ मानक External Portal Server कैप्टिव पोर्टल रीडायरेक्शन का उपयोग कर सकते हैं। इस परिदृश्य के लिए सही आर्किटेक्चरल दृष्टिकोण क्या है?

संकेत: WPA3-Enterprise 802.1X ऑथेंटिकेशन का उपयोग करता है, जो IP एड्रेस असाइन होने से पहले, एसोसिएशन चरण में होता है। यह कैप्टिव पोर्टल वाले ओपन SSID से मौलिक रूप से भिन्न है।

मॉडल उत्तर देखें

WPA3-Enterprise (और WPA2-Enterprise) 802.1X ऑथेंटिकेशन का उपयोग करता है, जो मानक कैप्टिव पोर्टल वेब रीडायरेक्शन के साथ मौलिक रूप से असंगत है। एक 802.1X नेटवर्क में, क्लाइंट को IP एड्रेस असाइन करने या नेटवर्क पर अनुमति देने से पहले EAP विधियों (जैसे EAP-TLS या PEAP) का उपयोग करके एसोसिएशन चरण (Layer 2) पर ऑथेंटिकेशन होता है। इसलिए, आप क्लाइंट को वेब-आधारित स्प्लैश पेज पर रीडायरेक्ट नहीं कर सकते। WPA3-Enterprise को Purple के साथ एकीकृत करने के लिए: 1) 'External Portal Server' मॉडल से External RADIUS मॉडल पर शिफ्ट करें। 2) UniFi नेटवर्क एप्लिकेशन में एक RADIUS Profile कॉन्फ़िगर करें, जिसमें Purple के क्लाउड RADIUS सर्वर IP पते, ऑथेंटिकेशन पोर्ट (आमतौर पर 1812), अकाउंटिंग पोर्ट (आमतौर पर 1813) और साझा रहस्य दर्ज करें। 3) RADIUS Accounting सक्षम करें और 300 सेकंड का Interim Update Interval सेट करें। 4) VIP SSID को WPA3 Enterprise का उपयोग करने के लिए कॉन्फ़िगर करें और RADIUS प्रोफ़ाइल का चयन करें। जब कोई VIP गेस्ट कनेक्ट होता है, तो उनका डिवाइस उनके अद्वितीय एंटरप्राइज़ क्रेडेंशियल्स या सर्टिफिकेट का उपयोग करके सीधे Purple के क्लाउड RADIUS सर्वर के खिलाफ ऑथेंटिकेट करता है। Purple का RADIUS सर्वर कनेक्शन को ऑथराइज करता है और अकाउंटिंग अपडेट प्राप्त करता, जिससे स्थल को वेब-आधारित स्प्लैश पेज की आवश्यकता के बिना कनेक्शन एनालिटिक्स, सेशन अवधि और डेटा उपयोग को कैप्चर करने की अनुमति मिलती है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →