पॉडकास्ट ट्रांसक्रिप्ट देखें
Ubiquiti UniFi के लिए कैप्टिव पोर्टल — एक Purple टेक्निकल ब्रीफिंग
[परिचय और संदर्भ — लगभग 1 मिनट]
Purple टेक्निकल ब्रीफिंग सीरीज में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम Ubiquiti UniFi इंफ्रास्ट्रक्चर पर एक एक्सटर्नल कैप्टिव पोर्टल को डिप्लॉय करने की बारीकियों को समझेंगे — जो वैश्विक स्तर पर हॉस्पिटैलिटी, रिटेल और एंटरप्राइज वातावरण में सबसे व्यापक रूप से डिप्लॉय किए जाने वाले नेटवर्क प्लेटफॉर्म्स में से एक है।
यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या सिस्टम इंटीग्रेटर हैं जो UniFi क्लाउड गेटवे, Dream Machines, या UniFi नेटवर्क एप्लिकेशन के साथ काम कर रहे हैं, तो यह एपिसोड आपके लिए है। हम विस्तार से जानेंगे कि एक्सटर्नल पोर्टल मैकेनिज्म अंदरूनी तौर पर कैसे काम करता है, इसे सही तरीके से कैसे कॉन्फ़िगर किया जाए, सामान्य गलतियां कहाँ होती हैं, और उन वेन्यू के लिए UniFi डिप्लॉयमेंट के ऊपर Purple को ओवरले करना सही आर्किटेक्चरल निर्णय क्यों है जिन्हें एक बुनियादी स्प्लैश पेज से अधिक की आवश्यकता है।
आइए शुरू करते हैं।
[तकनीकी विश्लेषण — लगभग 5 मिनट]
सबसे पहले, आइए समझें कि वास्तव में क्या होता है जब कोई गेस्ट किसी ऐसे UniFi SSID से कनेक्ट होता है जिसमें कैप्टिव पोर्टल सक्षम (enabled) होता है।
जब कोई गेस्ट डिवाइस आपके गेस्ट SSID से जुड़ता है, तो UniFi एक्सेस पॉइंट सामान्य रूप से DHCP के माध्यम से इसे एक IP एड्रेस असाइन करता है। लेकिन डिवाइस को तुरंत उस स्थिति में डाल दिया जाता है जिसे UniFi "पेंडिंग" स्टेट कहता है। इस स्थिति में, AP की इन-बिल्ट DNSmasq प्रक्रिया डिवाइस द्वारा की जाने वाली प्रत्येक DNS क्वेरी को इंटरसेप्ट करती है, चाहे डिवाइस किसी भी DNS सर्वर का उपयोग कर रहा हो। AP सभी DNS ट्रैफिक को अपनी ओर रीडायरेक्ट करता है।
साथ ही, AP पोर्ट 80 पर एक लाइटवेट HTTP रीडायरेक्टर चलाता है। जैसे ही गेस्ट का ब्राउज़र कोई HTTP रिक्वेस्ट करता है — और यहाँ मुख्य शब्द HTTP है, HTTPS नहीं — रीडायरेक्टर तुरंत एक 302 रीडायरेक्ट भेजता है, जिससे ब्राउज़र कैप्टिव पोर्टल स्प्लैश पेज पर चला जाता है। यह वही मैकेनिज्म है जो iOS और Android डिवाइसेज पर "WiFi में साइन इन करें" नोटिफिकेशन को ट्रिगर करता है।
अब, यहीं पर इन-बिल्ट पोर्टल बनाम एक्सटर्नल पोर्टल का अंतर महत्वपूर्ण हो जाता है। इन-बिल्ट UniFi हॉटस्पॉट पोर्टल के साथ, स्प्लैश पेज सीधे UniFi नेटवर्क एप्लिकेशन द्वारा सर्व किया जाता है। यह काम करता है, इसे सेटअप करना आसान है, लेकिन यह बेहद सीमित है। आपको बुनियादी पासवर्ड ऑथेंटिकेशन, वाउचर और Stripe भुगतान मिलते हैं। इसमें कोई ईमेल कैप्चर, कोई सोशल लॉगिन, कोई GDPR सहमति प्रबंधन, कोई CRM इंटीग्रेशन और सेशन काउंट के अलावा कोई सार्थक एनालिटिक्स नहीं मिलता है।
जब आप एक एक्सटर्नल पोर्टल सर्वर कॉन्फ़िगर करते हैं — जो कि वह सेटिंग है जिस पर हम आज ध्यान केंद्रित कर रहे हैं — तो आप UniFi कंट्रोलर को मेहमानों को पूरी तरह से अलग वेब एप्लिकेशन पर रीडायरेक्ट करने के लिए कह रहे होते हैं। हमारे मामले में, वह Purple है। एक्सटर्नल पोर्टल सर्वर फ़ील्ड में आपके द्वारा दर्ज किया गया URL उन सभी 302 रीडायरेक्ट का गंतव्य (destination) बन जाता है।
यहाँ उस रीडायरेक्ट URL के बारे में महत्वपूर्ण तकनीकी विवरण दिया गया है। जब UniFi किसी गेस्ट को आपके एक्सटर्नल पोर्टल पर रीडायरेक्ट करता है, तो यह URL में कई क्वेरी पैरामीटर जोड़ता है। इनमें शामिल हैं: AP MAC एड्रेस, क्लाइंट डिवाइस MAC एड्रेस, एक यूनिक्स टाइमस्टैम्प, मूल URL जिसे क्लाइंट एक्सेस करने का प्रयास कर रहा था, और SSID नाम। आपका एक्सटर्नल पोर्टल — इस संदर्भ में Purple — उन पैरामीटर्स को कैप्चर करता है, कनेक्टिंग डिवाइस की पहचान करने के लिए उनका उपयोग करता है, उपयुक्त स्प्लैश पेज प्रस्तुत करता है, ऑथेंटिकेशन को संभालता है, और फिर उस MAC एड्रेस को ऑथराइज करने के लिए UniFi नेटवर्क एप्लिकेशन को वापस एक API कॉल करता है।
वह API कॉल एक महत्वपूर्ण हैंडशेक है। UniFi नेटवर्क एप्लिकेशन 9.1 और उसके बाद के संस्करणों में, उचित की-बेस्ड ऑथेंटिकेशन के साथ एक आधिकारिक REST API है। ऑथराइजेशन एंडपॉइंट साइट्स API के वर्जन वन के लिए एक POST रिक्वेस्ट है, जो विशिष्ट क्लाइंट ID को लक्षित करता है, जिसमें एक JSON बॉडी होती है जो मिनटों में समय सीमा, मेगाबाइट में डेटा उपयोग सीमा और प्रति सेकंड किलोबिट में रेट लिमिट निर्दिष्ट कर सकती है। एक बार जब कंट्रोलर को वह ऑथराइजेशन मिल जाता है, तो वह निर्देश को AP पर भेज देता है, और गेस्ट पेंडिंग से ऑथराइज्ड स्थिति में आ जाता है। इंटरनेट एक्सेस प्रदान कर दिया जाता है।
अब आइए वॉल्ड गार्डन के बारे में बात करते हैं, जिसे UniFi प्री-ऑथराइजेशन एक्सेस कहता है। यह उन डोमेन और IP एड्रेस की व्हाइटलिस्ट है जिन तक मेहमान ऑथेंटिकेट होने से पहले पहुंच सकते हैं। यह आवश्यक है, और यह गलत कॉन्फ़िगरेशन के सबसे आम कारणों में से एक है।
कम से कम, आपके वॉल्ड गार्डन में आपके Purple पोर्टल का फुली क्वालिफाइड डोमेन नेम (FQDN), और वे IP एड्रेस या CIDR रेंज शामिल होने चाहिए जिन पर Purple का इंफ्रास्ट्रक्चर रिजॉल्व होता है। यदि आप सोशल लॉगिन — Facebook, Google, Microsoft — का उपयोग कर रहे हैं, तो आपको उन प्रदाताओं के लिए OAuth एंडपॉइंट डोमेन भी जोड़ने होंगे। Google के लॉगिन एंडपॉइंट कई IP रेंज और कई डोमेन में फैले हुए हैं जिनमें accounts.google.com और oauth2.googleapis.com शामिल हैं। Facebook के लॉगिन इंफ्रास्ट्रक्चर को भी इसी तरह कई प्रविष्टियों की आवश्यकता होती है। Purple का दस्तावेज़ीकरण आवश्यक सटीक प्रविष्टियों की एक सूची प्रदान करता है, और जैसे-जैसे वे प्रदाता अपने इंफ्रास्ट्रक्चर को अपडेट करते हैं, इस सूची को अपडेट रखा जाता है।
UniFi के लिए विशिष्ट एक महत्वपूर्ण समस्या है जो कई डिप्लॉयमेंट में बाधा बनती है। AP पर HTTP रीडायरेक्टर केवल पोर्ट 80 पर प्लेन HTTP ट्रैफिक को इंटरसेप्ट करता है। आधुनिक डिवाइसेज — iOS, Android, Windows, macOS — सभी HTTPS-आधारित कैप्टिव पोर्टल डिटेक्शन करते हैं। Apple डिवाइसेज HTTPS पर captive.apple.com को हिट करते हैं। Android डिवाइसेज connectivitycheck.gstatic.com को हिट करते हैं। यदि उन HTTPS रिक्वेस्ट को कोई विशिष्ट प्रतिक्रिया नहीं मिलती है, तो डिवाइस यह तय कर सकता है कि कोई कैप्टिव पोर्टल नहीं है और साइन-इन प्रॉम्प्ट दिखाने में विफल हो सकता है।
समाधान यह सुनिश्चित करना है कि आपके वॉल्ड गार्डन में प्रमुख ऑपरेटिंग सिस्टम के लिए कैप्टिव पोर्टल डिटेक्शन डोमेन शामिल हों, और आपका Purple पोर्टल एक वैध, विश्वसनीय SSL सर्टिफिकेट के साथ HTTPS पर सुलभ हो। सेल्फ-साइंड सर्टिफिकेट ब्राउज़र सुरक्षा चेतावनियाँ पैदा करेंगे जो पोर्टल को लोड होने से रोकती हैं। प्रोडक्शन डिप्लॉयमेंट के लिए यह गैर-परक्राम्य (non-negotiable) है।
दूसरा UniFi-विशिष्ट विचार कंट्रोलर की सुलभता है। API ऑथराइजेशन कॉल के सफल होने के लिए UniFi नेटवर्क एप्लिकेशन — चाहे वह क्लाउड गेटवे, क्लाउड की, या सेल्फ-होस्टेड सर्वर पर चल रहा हो — Purple के इंफ्रास्ट्रक्चर से सुलभ होना चाहिए। यदि आपका कंट्रोलर NAT के पीछे एक प्राइवेट नेटवर्क पर है, तो आपको यह सुनिश्चित करना होगा कि प्रासंगिक API पोर्ट सुलभ हों। सेल्फ-होस्टेड कंट्रोलर्स के लिए, यह आमतौर पर लेगेसी API के लिए पोर्ट 8443 है, या वर्जन 9.1 में पेश किए गए नए API के लिए मानक HTTPS पोर्ट 443 है। Purple का सपोर्ट दस्तावेज़ उन सटीक IP रेंज को निर्दिष्ट करता है जिन्हें आपके कंट्रोलर तक इनबाउंड एक्सेस की आवश्यकता होती है।
RADIUS-आधारित ऑथेंटिकेशन के लिए — जो तब प्रासंगिक होता है जब आप ओपन गेस्ट SSID मॉडल के बजाय WPA2-Enterprise या WPA3-Enterprise SSIDs के साथ Purple को डिप्लॉय कर रहे होते हैं — UniFi का इन-बिल्ट RADIUS सर्वर मानक 802.1X EAP विधियों का समर्थन करता है। आप Settings, Networks, RADIUS Servers के अंतर्गत RADIUS प्रोफ़ाइल को कॉन्फ़िगर करते हैं, और फिर अपने SSID कॉन्फ़िगरेशन में उस प्रोफ़ाइल को संदर्भित करते हैं। UniFi वर्जन 8.4 के बाद से TLS पर RADIUS का भी समर्थन करता है, जिसे RADSEC के रूप में जाना जाता है, जो AP और ऑथेंटिकेशन सर्वर के बीच RADIUS ट्रैफिक को एन्क्रिप्ट करता है। मल्टी-साइट डिप्लॉयमेंट के लिए जहां RADIUS ट्रैफिक सार्वजनिक इंटरनेट से होकर गुजरता है, RADSEC की दृढ़ता से सिफारिश की जाती है।
[कार्यान्वयन सिफारिशें और गलतियाँ — लगभग 2 मिनट]
आइए व्यावहारिक कार्यान्वयन चेकलिस्ट पर आते हैं जिसे मैं UniFi पर Purple डिप्लॉय करने वाले किसी भी क्लाइंट के साथ साझा करूँगा।
पहला, नेटवर्क सेगमेंटेशन। आपका गेस्ट SSID एक समर्पित VLAN पर होना चाहिए, जो आपके कॉर्पोरेट और IoT नेटवर्क से अलग हो। UniFi इसे आसान बनाता है — Settings, Networks में एक समर्पित नेटवर्क बनाएं, इसे एक VLAN ID असाइन करें, और अपने गेस्ट SSID को उस नेटवर्क से जोड़ें। गेस्ट-टू-गेस्ट ट्रैफिक को रोकने के लिए गेस्ट नेटवर्क पर क्लाइंट आइसोलेशन सक्षम करें।
दूसरा, कंट्रोलर के पास एक वैध FQDN और एक विश्वसनीय SSL सर्टिफिकेट होना चाहिए। केवल IP एड्रेस पर भरोसा न करें। एक उचित डोमेन नेम का उपयोग करें, उस पर Let's Encrypt या व्यावसायिक सर्टिफिकेट प्राप्त करें, और उस सर्टिफिकेट का उपयोग करने के लिए UniFi को कॉन्फ़िगर करें। यह अधिकांश HTTPS रीडायरेक्ट समस्याओं को हल करता है।
तीसरा, अपने वॉल्ड गार्डन को ध्यान से बनाएं और उसका परीक्षण करें। न्यूनतम प्रविष्टियाँ हैं: आपका Purple पोर्टल डोमेन और उसकी IP रेंज, iOS, Android और Windows के लिए कैप्टिव पोर्टल डिटेक्शन डोमेन, और कोई भी OAuth प्रदाता डोमेन जिसका आप उपयोग कर रहे हैं। ऐसे डिवाइस के साथ परीक्षण करें जो पहले कभी नेटवर्क से कनेक्ट नहीं हुआ है — कैश्ड DNS और नेटवर्क स्थिति परीक्षण के दौरान वॉल्ड गार्डन की कमियों को छिपा सकती है।
चौथा, API इंटीग्रेशन के लिए, न्यूनतम आवश्यक अनुमतियों के साथ UniFi नेटवर्क एप्लिकेशन में एक समर्पित लोकल एडमिन अकाउंट का उपयोग करें। अपने प्राथमिक एडमिन क्रेडेंशियल्स का उपयोग न करें। यदि आप नेटवर्क एप्लिकेशन 9.1 या उसके बाद के संस्करण पर हैं, तो Control Plane, Integrations के अंतर्गत नए API की मैकेनिज्म का उपयोग करें — यह अधिक सुरक्षित है और इसके लिए क्रेडेंशियल-आधारित ऑथेंटिकेशन की आवश्यकता नहीं होती है।
पांचवां, सेशन की अवधि पर ध्यान से विचार करें। UniFi की डिफ़ॉल्ट गेस्ट सेशन समाप्ति आठ घंटे जितनी कम हो सकती है। हॉस्पिटैलिटी डिप्लॉयमेंट के लिए जहां मेहमान कई रातें रुक सकते हैं, Purple पोर्टल सेटिंग्स में उपयुक्त सेशन अवधि कॉन्फ़िगर करें, और सुनिश्चित करें कि वे अवधि API ऑथराइजेशन कॉल में सही ढंग से पास की गई हैं।
सबसे आम गलती जो मैं देखता हूँ वह एक ऐसे सेल्फ-होस्टेड कंट्रोलर पर डिप्लॉय करना है जो सार्वजनिक रूप से सुलभ नहीं है। यदि Purple मेहमानों को ऑथराइज करने के लिए आपके कंट्रोलर तक नहीं पहुंच सकता है, तो पोर्टल लोड हो जाएगा लेकिन ऑथेंटिकेशन चुपचाप विफल हो जाएगा। लाइव होने से पहले हमेशा Purple के इंफ्रास्ट्रक्चर से API कनेक्टिविटी सत्यापित करें।
[रैपिड-फायर प्रश्नोत्तर — लगभग 1 मिनट]
क्या यह UniFi Dream Machine Pro पर काम करता है? हाँ। सभी UniFi OS कंसोल — UDM, UDM Pro, UDM SE, UCG Ultra, UCG-Max — एक्सटर्नल पोर्टल सर्वर कॉन्फ़िगरेशन का समर्थन करते हैं। नेटवर्क एप्लिकेशन डिवाइस पर ही चलता है।
क्या मैं एक ही Purple अकाउंट से कई UniFi साइट्स पर Purple का उपयोग कर सकता हूँ? हाँ। Purple का मल्टी-साइट आर्किटेक्चर इसी काम के लिए डिज़ाइन किया गया है। प्रत्येक वेन्यू को Purple में एक अलग साइट के रूप में कॉन्फ़िगर किया जाता है, जो संबंधित UniFi साइट से मैप होता है।
क्या मुझे UniFi गेटवे पर फ़ायरवॉल पोर्ट खोलने की आवश्यकता है? आपको यह सुनिश्चित करना होगा कि गेस्ट VLAN ट्रैफिक पोर्ट 443 पर Purple पोर्टल डोमेन तक पहुँच सके। कंट्रोलर API पोर्ट भी Purple के सर्वर से सुलभ होना चाहिए। Purple का दस्तावेज़ विशिष्ट IP रेंज प्रदान करता है।
WPA3 के बारे में क्या? UniFi WPA3 Personal और WPA3 Enterprise का समर्थन करता है। कैप्टिव पोर्टल मैकेनिज्म गेस्ट नेटवर्क पर WPA3 Personal के साथ काम करता है। WPA3 Enterprise 802.1X और RADIUS का उपयोग करता है, जो एक अलग ऑथेंटिकेशन फ्लो है।
[सारांश और अगले कदम — लगभग 1 मिनट]
संक्षेप में: UniFi पर एक एक्सटर्नल कैप्टिव पोर्टल के रूप में Purple को डिप्लॉय करना एक अच्छी तरह से समर्थित, आर्किटेक्चरल रूप से मजबूत इंटीग्रेशन है। मुख्य चरण हैं: अपने गेस्ट SSID को एक्सटर्नल पोर्टल सर्वर विकल्प के साथ कॉन्फ़िगर करें जो आपके Purple पोर्टल URL की ओर इशारा करता हो, एक व्यापक वॉल्ड गार्डन बनाएं जो Purple के इंफ्रास्ट्रक्चर और आपके द्वारा उपयोग किए जा रहे किसी भी OAuth प्रदाताओं को कवर करता हो, सुनिश्चित करें कि आपके UniFi कंट्रोलर के पास एक वैध SSL सर्टिफिकेट है और वह Purple के API सर्वर से सुलभ है, और अपने वेन्यू के प्रकार के लिए उपयुक्त सेशन अवधि कॉन्फ़िगर करें।
बिजनेस केस सीधा है। इन-बिल्ट UniFi पोर्टल आपको केवल एक स्प्लैश पेज देता है। Purple आपको एक अनुपालन-तैयार (compliance-ready), एनालिटिक्स-संचालित गेस्ट एक्सपीरियंस प्लेटफॉर्म देता है जो आपके CRM के साथ एकीकृत होता है, GDPR सहमति के तहत फर्स्ट-पार्टी डेटा कैप्चर करता है, और फुटफॉल और ड्वेल-टाइम एनालिटिक्स प्रदान करता है जिसकी वास्तव में वेन्यू ऑपरेटरों और मार्केटिंग टीमों को आवश्यकता होती है।
यदि आप बड़े पैमाने पर UniFi डिप्लॉय करने वाले MSP या सिस्टम इंटीग्रेटर हैं, तो Purple की मल्टी-साइट प्रबंधन और व्हाइट-लेबल क्षमताएं इसे आपके क्लाइंट्स के लिए सही ओवरले बनाती हैं।
विस्तृत कॉन्फ़िगरेशन दस्तावेज़ीकरण, वॉल्ड गार्डन IP सूचियों और API इंटीग्रेशन गाइड के लिए, purple.ai पर जाएं। सुनने के लिए धन्यवाद।