मुख्य सामग्री पर जाएं
हिन्दी

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

📖 9 मिनट का पाठ📝 2,146 शब्द🔧 2 हल किए गए उदाहरण4 अभ्यास प्रश्न📚 10 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
[0:00 - 1:00] परिचय और संदर्भ Purple तकनीकी ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और अगले दस मिनटों में, हम Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण का विश्लेषण करने जा रहे हैं। यदि आप एक IT प्रबंधक, एक नेटवर्क आर्किटेक्ट, या एक CTO हैं जो हॉस्पिटैलिटी, रिटेल, या सार्वजनिक क्षेत्र के वातावरण में कस्टम फ़र्मवेयर तैनात कर रहे हैं, तो यह ब्रीफिंग आपके लिए है। हम अकादमिक सिद्धांत को दरकिनार करेंगे और आपको CoovaChilli को कॉन्फ़िगर करने, 802.1X के साथ स्टाफ नेटवर्क को सुरक्षित करने, और Private Pre-Shared Keys का उपयोग करके मल्टी-टेनेंट वातावरण को विभाजित करने के लिए सटीक प्लेबुक देंगे। यह क्यों मायने रखता है? क्योंकि OpenWrt जैसे कस्टम फ़र्मवेयर को तैनात करना आपको अविश्वसनीय लचीलापन और हार्डवेयर स्वतंत्रता देता है। लेकिन एक संरचित, पहचान-संचालित एक्सेस नियंत्रण परत के बिना, वह लचीलापन एक सुरक्षा दायित्व बन जाता है। आपको प्रथम-पक्ष डेटा को सुरक्षित रूप से कैप्चर करने, GDPR अनुपालन लागू करने और अपने ट्रैफ़िक को विश्वसनीय रूप से विभाजित करने की आवश्यकता है। आइए तकनीकी गहन विश्लेषण में चलें। [1:00 - 6:00] तकनीकी गहन विश्लेषण OpenWrt एकीकरण का मूल CoovaChilli पर निर्भर करता है। CoovaChilli ओपन-सोर्स एक्सेस कंट्रोलर है जो अप्रमाणित क्लाइंट ट्रैफ़िक को रोकता है और इसे Purple कैप्टिव पोर्टल पर रीडायरेक्ट करता है। जब कोई गेस्ट आपके ओपन SSID से कनेक्ट होता है, तो CoovaChilli गेटकीपर के रूप में कार्य करता है। यह tun0 इंटरफेस पर चलने वाले अपने स्वयं के आंतरिक DHCP सर्वर के माध्यम से एक IP पता असाइन करता, और वॉल्ड गार्डन में आपके द्वारा स्पष्ट रूप से अनुमति दिए गए ट्रैफ़िक को छोड़कर सभी ट्रैफ़िक को ब्लॉक करता है। जब गेस्ट ब्राउज़ करने का प्रयास करता है, तो CoovaChilli HTTP अनुरोध को रोकता है और Purple स्प्लैश पेज पर एक रीडायरेक्ट जारी करता है। यहीं पर वॉल्ड गार्डन कॉन्फ़िगरेशन महत्वपूर्ण है। अपनी chilli.conf फ़ाइल में, आपको HS_UAMDOMAINS पैरामीटर को परिभाषित करना होगा। यह उन डोमेन की अल्पविराम से अलग की गई सूची है जहाँ गेस्ट प्रमाणित होने से पहले पहुँच सकते हैं। आपको splash.purple.ai, api.purple.ai, और विभिन्न CDN डोमेन शामिल करने होंगे जिनका उपयोग हम पोर्टल एसेट की सेवा के लिए करते हैं। यदि आप कोई डोमेन छोड़ देते हैं, तो पोर्टल लोड होने में विफल हो जाएगा, या सोशल लॉगिन बटन टूट जाएंगे। यह इतना सरल है। एक बार जब गेस्ट Purple पोर्टल पर प्रमाणित हो जाता है, तो Purple का क्लाउड RADIUS सर्वर UDP पोर्ट 1812 पर CoovaChilli को एक Access-Accept संदेश वापस भेजता है। इसके बाद CoovaChilli MAC पते को अधिकृत करता, उस सत्र के लिए फ़ायरवॉल नियम खोलता है, और UDP पोर्ट 1813 पर अकाउंटिंग डेटा भेजना शुरू करता है। अकाउंटिंग वैकल्पिक नहीं है। इसी तरह से Purple आपके एनालिटिक्स डैशबोर्ड के लिए सत्र की अवधि और डेटा उपयोग को ट्रैक करता है। अब, आइए स्टाफ WiFi के बारे में बात करते हैं। आप स्टाफ के लिए CoovaChilli का उपयोग नहीं करते हैं। स्टाफ नेटवर्क के लिए, आप WPA2-Enterprise या WPA3-Enterprise के साथ hostapd का उपयोग करते हैं। यह मानक 802.1X प्रमाणीकरण है। एक्सेस पॉइंट ऑथेंटिकेटर के रूप में कार्य करता है, जो आपके RADIUS सर्वर पर EAP संदेशों को अग्रेषित करता है। कॉर्पोरेट उपकरणों के लिए, आपको EAP-TLS तैनात करना चाहिए, जो पासवर्ड के बजाय डिजिटल प्रमाणपत्रों का उपयोग करता है। यह क्रेडेंशियल चोरी को पूरी तरह से समाप्त करता है। आप अपने RADIUS सर्वर को इंगित करने के लिए hostapd.conf को कॉन्फ़िगर करते हैं, और RADIUS सर्वर उस विशिष्ट उपयोगकर्ता के लिए VLAN असाइनमेंट तय करता है। यह हमें आधुनिक OpenWrt परिनियोजन में सबसे शक्तिशाली विशेषताओं में से एक पर लाता है: Private Pre-Shared Keys, या PPSK। एक मल्टी-टेनेंट वातावरण में - मान लें, एक BTR संपत्ति या एक कोवर्किंग स्पेस - आप पचास अलग-अलग SSID प्रसारित नहीं करना चाहते हैं। यह आपकी एयरटाइम दक्षता को बर्बाद करता है। इसके बजाय, आप एक ही SSID प्रसारित करते हैं। जब कोई डिवाइस कनेक्ट होता है, तो hostapd RADIUS सर्वर को MAC पता भेजता है। RADIUS सर्वर Tunnel-Password विशेषता का उपयोग करके उस डिवाइस के लिए एक विशिष्ट पासफ़्रेज़ और एक विशिष्ट VLAN ID के साथ प्रतिक्रिया करता है। इसका मतलब है कि दुकान A में रिटेल स्टाफ सदस्य को VLAN 10 पर छोड़ दिया जाता है, जबकि मुख्य हॉल में इवेंट प्रतिभागी को VLAN 30 पर छोड़ दिया जाता है, सभी बिल्कुल एक ही SSID से कनेक्ट होते हैं। यह सुरुचिपूर्ण है, यह स्केल करता है, और यह एज पर न्यूनतम-विशेषाधिकार एक्सेस लागू करता है। [6:00 - 8:00] कार्यान्वयन सिफारिशें और नुकसान आइए कार्यान्वयन पर चर्चा करें। Purple के साथ OpenWrt तैनात करते समय, आपका पहला कदम हमेशा Purple पोर्टल से अपने RADIUS क्रेडेंशियल प्राप्त करना होता है। आपको प्राथमिक और द्वितीयक RADIUS IP पते, साझा रहस्य और पोर्टल URL की आवश्यकता होती है। अपने OpenWrt कॉन्फ़िगरेशन में, आप अपने गेस्ट नेटवर्क इंटरफेस - आमतौर पर eth1 या wlan0 - को परिभाषित करेंगे और CoovaChilli को इससे बांधेंगे। सुनिश्चित करें कि आपकी chilli.conf में HS_RADSECRET बिल्कुल वही है जो Purple पोर्टल में है। एक एकल वर्ण का बेमेल मूक प्रमाणीकरण विफलताओं का कारण बनेगा। सबसे बड़ा नुकसान जो हम देखते हैं वह पूर्व-प्रमाणीकरण DNS रिज़ॉल्यूशन है। CoovaChilli DNS अनुरोधों को रोकता है। यदि आपका अपस्ट्रीम फ़ायरवॉल OpenWrt राउटर को बाहरी DNS को हल करने से रोकता है, तो कैप्टिव पोर्टल रीडायरेक्ट विफल हो जाएगा। सुनिश्चित करें कि आपके OpenWrt राउटर के पास Google या OpenDNS जैसे सार्वजनिक रिज़ॉल्वर तक निर्बाध DNS एक्सेस है। एक और आम समस्या iOS और Android में निर्मित कैप्टिव पोर्टल डिटेक्शन तंत्र है। Apple डिवाइस इंटरनेट कनेक्टिविटी की जांच करने के लिए captive.apple.com तक पहुँचते हैं। यदि आप अपने वॉल्ड गार्डन में captive.apple.com को श्वेतसूची (whitelist) में डालते हैं, तो डिवाइस सोचता है कि उसके पास इंटरनेट एक्सेस है और वह कैप्टिव नेटवर्क सहायक को पॉप अप नहीं करेगा। यदि आप स्वचालित पॉप-अप चाहते हैं, तो Apple के डोमेन को वॉल्ड गार्डन से बाहर रखें। [8:00 - 9:00] रैपिड-फायर प्रश्नोत्तर (Q&A) आइए एक रैपिड-फायर प्रश्नोत्तर करें। प्रश्न एक: क्या मैं एक ही OpenWrt एक्सेस पॉइंट पर CoovaChilli और hostapd 802.1X चला सकता हूँ? हाँ। आप CoovaChilli को अपने गेस्ट SSID इंटरफेस से बांधते हैं, और आप अपने स्टाफ SSID इंटरफेस पर 802.1X के साथ hostapd कॉन्फ़िगर करते हैं। वे स्वतंत्र रूप से काम करते हैं। प्रश्न दो: क्या Purple OpenWrt के साथ डायनेमिक VLAN असाइनमेंट का समर्थन करता है? हाँ। Purple के RADIUS सर्वर मानक RADIUS विशेषताएँ लौटा सकते हैं, जिसमें Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID शामिल हैं, जो OpenWrt को प्रमाणित उपयोगकर्ता को एक विशिष्ट VLAN पर छोड़ने का निर्देश देते हैं। प्रश्न तीन: क्या होता है यदि OpenWrt राउटर का Purple RADIUS सर्वर से कनेक्शन टूट जाता है? CoovaChilli नए सत्रों को प्रमाणित करने में विफल रहेगा। मौजूदा अधिकृत सत्र तब तक सक्रिय रहेंगे जब तक कि उनका सत्र टाइमआउट समाप्त नहीं हो जाता। उच्च उपलब्धता सुनिश्चित करने के लिए हमेशा द्वितीयक Purple RADIUS सर्वर को कॉन्फ़िगर करें। [9:00 - 10:00] सारांश और अगले कदम संक्षेप में: OpenWrt एंटरप्राइज़ WiFi के लिए एक मजबूत, हार्डवेयर-अज्ञेयवादी (hardware-agnostic) प्लेटफ़ॉर्म प्रदान करता है। गेस्ट एक्सेस के लिए CoovaChilli और सुरक्षित स्टाफ और मल्टी-टेनेंट PPSK के लिए hostapd को एकीकृत करके, आप एक पहचान-आधारित नेटवर्क बनाते हैं। Purple RADIUS बुनियादी ढांचे की जटिलता को अमूर्त (abstract) करता है, एक क्लाउड-प्रबंधित पोर्टल प्रदान करता है जो प्रथम-पक्ष डेटा कैप्चर करता है और अनुपालन सुनिश्चित करता है। आपका अगला कदम आपके वर्तमान कस्टम फ़र्मवेयर परिनियोजन का ऑडिट करना है। सुनिश्चित करें कि आपके वॉल्ड गार्डन पूरी तरह से भरे हुए हैं, अपने RADIUS अकाउंटिंग अंतरालों को सत्यापित करें, और साझा PSK से डायनेमिक PPSK सेगमेंटेशन में अपने प्रवास की योजना बनाना शुरू करें। Purple तकनीकी ब्रीफिंग सुनने के लिए धन्यवाद। Purple आपके गेस्ट WiFi को कैसे सुरक्षित और मुद्रीकृत (monetise) कर सकता है, इसके बारे में अधिक जानने के लिए, purple.ai पर जाएं। अगली बार तक।

header_image.png

कार्यकारी सारांश

OpenWrt उन IT टीमों के लिए पसंदीदा फ़र्मवेयर है जिन्हें एंटरप्राइज़-ग्रेड नियंत्रण से समझौता किए बिना हार्डवेयर स्वतंत्रता की आवश्यकता होती है। हॉस्पिटैलिटी, रिटेल और सार्वजनिक क्षेत्र के स्थानों में तैनात, यह पूरी तरह से कॉन्फ़िगर करने योग्य Linux-आधारित नेटवर्क स्टैक प्रदान करता है। लेकिन डिफ़ॉल्ट रूप से, OpenWrt एक खाली कैनवास है। एक संरचित पहचान परत (identity layer) के बिना, गेस्ट नेटवर्क अप्रबंधनीय हो जाते हैं, स्टाफ नेटवर्क असुरक्षित रहते हैं, और मल्टी-टेनेंट वातावरण एक ही फ्लैट नेटवर्क में सिमट जाते हैं।

यह गाइड OpenWrt को Purple के क्लाउड RADIUS और कैप्टिव पोर्टल प्लेटफ़ॉर्म से जोड़ने के लिए निश्चित एकीकरण प्लेबुक प्रदान करती है। हम चार अलग-अलग परिनियोजन परिदृश्यों को कवर करते हैं: CoovaChilli का उपयोग करके गेस्ट कैप्टिव पोर्टल रीडायरेक्शन, iptables वॉल्ड गार्डन कॉन्फ़िगरेशन, IEEE 802.1X के साथ hostapd का उपयोग करके सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Private Pre-Shared Keys (PPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन। अंत तक, आपके पास किसी भी OpenWrt-सक्षम हार्डवेयर पर प्रोडक्शन-रेडी, GDPR-अनुपालन, पहचान-संचालित नेटवर्क को तैनात करने के लिए आवश्यक सटीक कॉन्फ़िगरेशन पैरामीटर, सामान्य विफलता मोड और निर्णय फ्रेमवर्क होंगे।

Purple 80,000+ से अधिक लाइव स्थानों पर काम करता है और इसने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं (Purple आंतरिक डेटा, 2024)। यहाँ वर्णित आर्किटेक्चर वही है जिसे हॉस्पिटैलिटी चेन, रिटेल संपत्तियों और परिवहन केंद्रों में बड़े पैमाने पर तैनात किया गया है।

तकनीकी गहन विश्लेषण

CoovaChilli कैप्टिव पोर्टल आर्किटेक्चर

OpenWrt पर Guest WiFi तैनात करते समय, CoovaChilli उद्योग-मानक एक्सेस कंट्रोलर है। यह एक कैप्टिव पोर्टल डेमन के रूप में काम करता है जो अप्रमाणित क्लाइंट ट्रैफ़िक को रोकता है, tun0 वर्चुअल इंटरफ़ेस पर अपने आंतरिक DHCP सर्वर के माध्यम से IP पते प्रदान करता है, और सीधे प्रबंधित किए जाने वाले iptables नियमों का उपयोग करके वॉल्ड गार्डन नीतियों को लागू करता है।

प्रमाणीकरण प्रवाह इस प्रकार काम करता है। एक गेस्ट डिवाइस ओपन SSID से जुड़ता है। CoovaChilli डिवाइस को अपने आंतरिक पूल (आमतौर पर 10.1.0.0/24) से एक IP पता असाइन करता है। जब डिवाइस अपना पहला HTTP अनुरोध भेजता है, तो CoovaChilli इसे रोकता है और Purple स्प्लैश पेज URL पर HTTP 302 रीडायरेक्ट जारी करता है। इस पूर्व-प्रमाणीकरण चरण के दौरान, डिवाइस अलग रहता है - यह केवल वॉल्ड गार्डन में स्पष्ट रूप से सूचीबद्ध डोमेन तक ही पहुँच सकता है।

एक बार जब गेस्ट Purple पोर्टल पर प्रमाणित हो जाता है, तो Purple का क्लाउड RADIUS सर्वर UDP पोर्ट 1812 पर CoovaChilli को एक Access-Accept संदेश भेजता है। इसके बाद CoovaChilli उस विशिष्ट MAC पते के लिए इंटरनेट एक्सेस की अनुमति देने के लिए अपने iptables नियमों को अपडेट करता है और UDP पोर्ट 1813 पर Purple RADIUS अकाउंटिंग सर्वर पर अकाउंटिंग डेटा (सत्र अवधि, स्थानांतरित बाइट्स) प्रसारित करना शुरू करता है। अकाउंटिंग वैकल्पिक नहीं है - यह वह तंत्र है जिसके द्वारा Purple आपके WiFi Analytics डैशबोर्ड को सत्र डेटा के साथ पॉप्युलेट करता है।

architecture_overview.png

वॉल्ड गार्डन: iptables और डोमेन अनुमति सूचियाँ (allowlists)

वॉल्ड गार्डन किसी भी कैप्टिव पोर्टल परिनियोजन में सबसे महत्वपूर्ण परिचालन कॉन्फ़िगरेशन तत्व है। CoovaChilli दो तंत्रों के माध्यम से वॉल्ड गार्डन का प्रबंधन करता है: व्यक्तिगत IP पतों के लिए uamallowed पैरामीटर और DNS निरीक्षण के साथ डोमेन-आधारित अनुमति सूची के लिए uamdomains पैरामीटर।

Purple एकीकरण के लिए, न्यूनतम आवश्यक वॉल्ड गार्डन प्रविष्टियाँ हैं:

डोमेन उद्देश्य
*.purple.ai पोर्टल एसेट, API, और प्रमाणीकरण एंडपॉइंट
*.googleapis.com Google Fonts और Google Sign-In
*.gstatic.com Google कनेक्टिविटी चेक और स्टैटिक एसेट
*.facebook.com Facebook Login API
*.fbcdn.net लॉगिन एसेट के लिए Facebook CDN
captive.apple.com Apple CNA डिटेक्शन (नीचे नोट देखें)
connectivitycheck.gstatic.com Android कैप्टिव पोर्टल डिटेक्शन

Apple CNA प्रबंधन पर नोट: यदि आप वॉल्ड गार्डन में captive.apple.com को शामिल करते हैं, तो iOS डिवाइस पूर्व-प्रमाणीकरण में इंटरनेट कनेक्टिविटी का पता लगा लेंगे और Captive Network Assistant पॉप-अप को दबा देंगे। अधिकांश हॉस्पिटैलिटी परिनियोजन स्वचालित पोर्टल प्रॉम्प्ट को ट्रिगर करने के लिए जानबूझकर इस डोमेन को बाहर रखते हैं। सही विकल्प आपके गेस्ट अनुभव डिज़ाइन पर निर्भर करता है।

सुरक्षित स्टाफ WiFi: hostapd और IEEE 802.1X

गेस्ट नेटवर्क घर्षण रहित ऑनबोर्डिंग की मांग करते हैं। स्टाफ नेटवर्क पूर्ण सुरक्षा की मांग करते हैं। आंतरिक उपयोगकर्ताओं के लिए, OpenWrt IEEE 802.1X प्रमाणीकरण की सुविधा के लिए hostapd का उपयोग करता है। इस आर्किटेक्चर में, OpenWrt एक्सेस पॉइंट ऑथेंटिकेटर के रूप में कार्य करता है, जो क्लाइंट डिवाइस (सप्लीकेंट) और Purple RADIUS सर्वर के बीच एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल (EAP) संदेशों को अग्रेषित करता है।

कॉर्पोरेट उपकरणों के लिए, EAP-TLS अनिवार्य मानक है। यह पारस्परिक प्रमाणपत्र प्रमाणीकरण पर निर्भर करता है - सर्वर और क्लाइंट डिवाइस दोनों डिजिटल प्रमाणपत्र प्रस्तुत करते हैं - जिससे पासवर्ड और क्रेडेंशियल चोरी या फ़िशिंग के संबंधित जोखिम पूरी तरह से समाप्त हो जाते हैं। उन वातावरणों के लिए जो अभी तक पूर्ण पब्लिक की इन्फ्रास्ट्रक्चर (PKI) के लिए तैयार नहीं हैं, PEAP-MSCHAPv2 उपयोगकर्ता नाम और पासवर्ड क्रेडेंशियल की सुरक्षा के लिए एक एन्क्रिप्टेड टनल का उपयोग करके एक उचित अंतरिम विकल्प प्रदान करता है।

जब कोई स्टाफ सदस्य सफलतापूर्वक प्रमाणित हो जाता है, तो RADIUS सर्वर प्राधिकरण विशेषताएँ लौटाता है। नेटवर्क सेगमेंटेशन के लिए मुख्य विशेषता Tunnel-Private-Group-ID है, जो OpenWrt को उपयोगकर्ता को गतिशील रूप से सही VLAN असाइन करने का निर्देश देती है। यह पहचान-आधारित नेटवर्क (Identity-Based Networks) के पीछे का तंत्र है: उपयोगकर्ता की पहचान, न कि उनका भौतिक स्थान, उनके नेटवर्क एक्सेस को निर्धारित करती है।

मल्टी-टेनेंट सेगमेंटेशन: OpenWrt PPSK कॉन्फ़िगरेशन

मल्टी-टेनेंट वातावरण में - कोवर्किंग स्पेस, build-to-rent (BTR) संपत्तियों, कई विक्रेताओं वाले रिटेल केंद्रों, या अलग प्रायोजक क्षेत्रों वाले स्टेडियमों में - कई SSID प्रसारित करना परिचालन रूप से महंगा और RF-अक्षम है। प्रत्येक अतिरिक्त SSID प्रबंधन फ़्रेम ओवरहेड जोड़ता है, जिससे डेटा ट्रैफ़िक के लिए उपलब्ध एयरटाइम कम हो जाता है।

Private Pre-Shared Keys (PPSK), जिसे कभी-कभी डायनेमिक PSK भी कहा जाता है, इसे हल करता है। आप एक ही SSID प्रसारित करते हैं। जब कोई डिवाइस कनेक्ट करने का प्रयास करता है, तो hostapd एक मानक Access-Request के माध्यम से डिवाइस का MAC पता RADIUS सर्वर को भेजता है। RADIUS सर्वर अपने डेटाबेस के विरुद्ध MAC पते को मान्य करता है और दो महत्वपूर्ण विशेषताओं वाला एक Access-Accept लौटाता: Tunnel-Password विशेषता (उस डिवाइस के लिए अद्वितीय पासफ़्रेज़) और Tunnel-Private-Group-ID विशेषता (VLAN असाइनमेंट)। डिवाइस अपने अद्वितीय पासफ़्रेज़ का उपयोग करके कनेक्ट होता है और सीधे अपने असाइन किए गए VLAN पर रख दिया जाता है।

इसका मतलब है कि एक रिटेल मैनेजर और एक इवेंट प्रतिभागी एक ही SSID से कनेक्ट हो सकते हैं लेकिन उनकी अद्वितीय पहचान के आधार पर पूरी तरह से अलग, पृथक नेटवर्क पर रूट किए जा सकते हैं।

ppsk_multitenant_diagram.png

कार्यान्वयन गाइड

चरण 1: Purple RADIUS क्रेडेंशियल प्राप्त करें

OpenWrt कॉन्फ़िगरेशन को छूने से पहले, Purple पोर्टल एडमिन कंसोल से निम्नलिखित प्राप्त करें:

  • प्राथमिक RADIUS सर्वर IP पता
  • द्वितीयक RADIUS सर्वर IP पता (फ़ेलओवर के लिए)
  • RADIUS साझा रहस्य (Shared Secret)
  • कैप्टिव पोर्टल स्प्लैश पेज URL
  • प्रमाणीकरण के बाद का रीडायरेक्ट URL

चरण 2: गेस्ट WiFi के लिए CoovaChilli स्थापित और कॉन्फ़िगर करें

opkg के माध्यम से coova-chilli पैकेज स्थापित करें:

opkg update && opkg install coova-chilli

मुख्य कॉन्फ़िगरेशन फ़ाइल /etc/chilli/defaults है। मुख्य नेटवर्क पैरामीटर परिभाषित करें:

# नेटवर्क इंटरफेस
HS_WANIF=eth0           # अपस्ट्रीम इंटरनेट इंटरफेस
HS_LANIF=wlan0          # गेस्ट WiFi इंटरफेस (या एक VLAN सब-इंटरफेस)

# गेस्ट सबनेट
HS_NETWORK=10.10.20.0
HS_NETMASK=255.255.255.0
HS_UAMLISTEN=10.10.20.1 # गेस्ट नेटवर्क पर CoovaChilli का IP
HS_UAMPORT=3990

# Purple RADIUS एकीकरण
HS_RADIUS=
HS_RADIUS2=
HS_RADSECRET=
HS_NASID=venue-openwrt-01

# Purple स्प्लैश पेज
HS_UAMSERVER=

# वॉल्ड गार्डन - डोमेन-आधारित अनुमति सूची
HS_UAMDOMAINS=".purple.ai,.googleapis.com,.gstatic.com,.facebook.com,.fbcdn.net"

सेवा को सक्षम और प्रारंभ करें:

/etc/init.d/chilli enable
/etc/init.d/chilli start

चरण 3: गेस्ट SSID के लिए OpenWrt वायरलेस इंटरफेस कॉन्फ़िगर करें

/etc/config/wireless में, गेस्ट SSID को एक ओपन नेटवर्क के रूप में परिभाषित करें जो उस इंटरफेस से बंधा हो जिसे CoovaChilli प्रबंधित करेगा:

config wifi-iface 'guest_wifi'
    option device 'radio0'
    option network 'guest'
    option mode 'ap'
    option ssid 'Venue_Guest'
    option encryption 'none'
    option isolate '1'

क्लाइंट आइसोलेशन (isolate '1') गेस्ट उपकरणों को एक-दूसरे के साथ संचार करने से रोकता है - किसी भी साझा नेटवर्क के लिए एक अनिवार्य सुरक्षा नियंत्रण।

चरण 4: 802.1X स्टाफ WiFi के लिए hostapd कॉन्फ़िगर करें

स्टाफ SSID के लिए, /etc/config/wireless में WPA2-Enterprise कॉन्फ़िगर करें:

config wifi-iface 'staff_wifi'
    option device 'radio0'
    option network 'staff_vlan10'
    option mode 'ap'
    option ssid 'Venue_Staff'
    option encryption 'wpa2'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option vlan_bridge 'br-vlan'
    option vlan_naming '0'

dynamic_vlan '2' सेट करने से hostapd को RADIUS सर्वर द्वारा लौटाए गए VLAN असाइनमेंट को लागू करने और कोई VLAN न लौटाए जाने पर प्रमाणीकरण को अस्वीकार करने का निर्देश मिलता है।

पैकेज की आवश्यकता: मानक wpad-mini पैकेज WPA2-Enterprise का समर्थन नहीं करता है। आपको wpad या wpad-openssl स्थापित करना होगा:

opkg remove wpad-mini && opkg install wpad-openssl

चरण 5: मल्टी-टेनेंट सेगमेंटेशन के लिए PPSK कॉन्फ़िगर करें

PPSK को RADIUS सर्वर के विरुद्ध MAC पता प्रमाणीकरण करने के लिए hostapd की आवश्यकता होती है, जो फिर प्रति-डिवाइस पासफ़्रेज़ लौटाता है। /etc/config/wireless में:

config wifi-iface 'ppsk_ssid'
    option device 'radio0'
    option mode 'ap'
    option ssid 'Venue_Connect'
    option encryption 'psk2'
    option key 'default_fallback_key'
    option macfilter 'radius'
    option server ''
    option port '1812'
    option key ''
    option dynamic_vlan '2'
    option vlan_tagged_interface 'eth0'
    option wpa_psk_radius '2'

wpa_psk_radius '2' पैरामीटर hostapd को RADIUS प्रतिक्रिया से Tunnel-Password विशेषता की आवश्यकता का निर्देश देता है। यदि RADIUS सर्वर पासफ़्रेज़ नहीं लौटाता है, तो प्रमाणीकरण अस्वीकार कर दिया जाता है।

Purple RADIUS की ओर, आपके FreeRADIUS कॉन्फ़िगरेशन (या समकक्ष) का authorize अनुभाग MAC पतों को पासफ़्रेज़ और VLAN ID से मैप करता है:

# PPSK के लिए उदाहरण RADIUS authorize प्रविष्टि
AA:BB:CC:DD:EE:FF   Auth-Type := Accept
    Tunnel-Password = "GuestPass2024",
    Tunnel-Type = VLAN,
    Tunnel-Medium-Type = IEEE-802,
    Tunnel-Private-Group-ID = "20"

चरण 6: डायनेमिक VLAN असाइनमेंट कॉन्फ़िगर करें

डायनेमिक VLAN असाइनमेंट के काम करने के लिए, आपके OpenWrt स्विच को आपके कोर स्विच से जुड़ने वाले ट्रंक पोर्ट पर टैग किए गए ट्रैफ़िक के रूप में प्रासंगिक VLAN ले जाने के लिए कॉन्फ़िगर किया जाना चाहिए। /etc/config/network में:

config interface 'vlan10'
    option ifname 'eth0.10'
    option proto 'dhcp'

config interface 'vlan20'
    option ifname 'eth0.20'
    option proto 'dhcp'

config interface 'vlan30'
    option ifname 'eth0.30'
    option proto 'dhcp'

सुनिश्चित करें कि आपका कोर स्विच पोर्ट ट्रंक के रूप में कॉन्फ़िगर किया गया है, जो VLAN 10, 20 और 30 को टैग करके पास कर रहा है।

सर्वोत्तम प्रथाएँ

पूर्ण नेटवर्क अलगाव (segregation)। गेस्ट इंटरफेस को कभी भी आंतरिक नेटवर्क के साथ ब्रिज न करें। गेस्ट ट्रैफ़िक को एक समर्पित VLAN पर अलग किया जाना चाहिए और सीधे इंटरनेट फ़ायरवॉल पर रूट किया जाना चाहिए। यह PCI-DSS 4.0 अनुपालन के लिए एक गैर-परक्राम्य आवश्यकता है, जो यह अनिवार्य करती है कि गेस्ट WiFi नेटवर्क कार्डधारक डेटा को संभालने वाले किसी भी नेटवर्क सेगमेंट से पूरी तरह से अलग हों।

वॉल्ड गार्डन सटीकता। एक अधूरा वॉल्ड गार्डन कैप्टिव पोर्टल विफलताओं का प्राथमिक कारण है। गेस्ट SSID से जुड़े एक परीक्षण डिवाइस पर अपने ब्राउज़र के डेवलपर टूल का उपयोग करके यह पहचानें कि पूर्व-प्रमाणीकरण में कौन से अनुरोध ब्लॉक किए गए हैं। प्रत्येक ब्लॉक किया गया डोमेन एक संभावित पोर्टल विफलता है।

RADIUS अकाउंटिंग अंतराल। CoovaChilli अकाउंटिंग अंतरिम अंतराल को 120 सेकंड पर कॉन्फ़िगर करें। यह अत्यधिक RADIUS ट्रैफ़िक उत्पन्न किए बिना Purple एनालिटिक्स डैशबोर्ड में वास्तविक समय के करीब सत्र डेटा प्रदान करता है।

द्वितीयक RADIUS सर्वर। अपने CoovaChilli कॉन्फ़िगरेशन में हमेशा HS_RADIUS2 कॉन्फ़िगर करें। यदि प्राथमिक Purple RADIUS सर्वर पहुंच से बाहर है, तो CoovaChilli नए सत्रों को प्रमाणित करने में विफल रहेगा। द्वितीयक सर्वर एक्सेस पॉइंट पर किसी कॉन्फ़िगरेशन परिवर्तन की आवश्यकता के बिना स्वचालित फ़ेलओवर प्रदान करता है।

पैकेज चयन। कई OpenWrt बिल्ड के साथ बंडल किया गया wpad-mini पैकेज WPA2-Enterprise या डायनेमिक VLAN असाइनमेंट का समर्थन नहीं करता है। 802.1X या PPSK की आवश्यकता वाले किसी भी परिनियोजन के लिए हमेशा wpad-openssl स्थापित करें।

एंटरप्राइज़ WiFi सुरक्षा आर्किटेक्चर पर अधिक मार्गदर्शन के लिए, हमारी Enterprise WiFi Security: A Complete Guide for 2026 देखें।

समस्या निवारण और जोखिम न्यूनीकरण

लक्षण संभावित कारण समाधान
रीडायरेक्ट के बाद पोर्टल लोड होने में विफल रहता है अधूरा वॉल्ड गार्डन लापता CDN/API डोमेन को HS_UAMDOMAINS में जोड़ें
प्रमाणीकरण चुपचाप विफल हो जाता है RADIUS साझा रहस्य बेमेल सत्यापित करें कि HS_RADSECRET CoovaChilli और Purple पोर्टल दोनों में बिल्कुल मेल खाता है
Purple एनालिटिक्स में कोई डेटा नहीं RADIUS अकाउंटिंग ब्लॉक है सत्यापित करें कि आउटबाउंड UDP 1813 की अनुमति है; HS_RADIUS2 अकाउंटिंग कॉन्फ़िगरेशन की जांच करें
iOS पोर्टल पॉप-अप नहीं दिखाता है वॉल्ड गार्डन में captive.apple.com HS_UAMDOMAINS से Apple डिटेक्शन डोमेन हटाएँ
PPSK क्लाइंट गलत VLAN पर चले जाते हैं vlan_tagged_interface गलत कॉन्फ़िगर किया गया है OpenWrt और कोर स्विच दोनों पर ट्रंक पोर्ट कॉन्फ़िगरेशन सत्यापित करें
802.1X प्रमाणीकरण wpad त्रुटि के साथ विफल हो जाता है wpad-mini स्थापित है wpad-mini निकालें, wpad-openssl स्थापित करें
ath10k पर डायनेमिक VLAN विफल रहता है पुराने बिल्ड में ज्ञात ड्राइवर समस्या OpenWrt 21.02 या बाद के संस्करण में अपडेट करें; गैर-CT ath10k फ़र्मवेयर का उपयोग करें

GDPR अनुपालन नोट: CoovaChilli स्वयं व्यक्तिगत डेटा को कैप्चर या संग्रहीत नहीं करता है। सभी सहमति कैप्चर, डेटा प्रोसेसिंग और GDPR अनुपालन तंत्र पोर्टल परत पर Purple प्लेटफ़ॉर्म द्वारा नियंत्रित किए जाते हैं। सुनिश्चित करें कि लाइव होने से पहले आपका Purple पोर्टल आपके स्थान के नियमों और शर्तों और डेटा प्रोसेसिंग नोटिस के साथ कॉन्फ़िगर किया गया है।

संबंधित हार्डवेयर एकीकरण पैटर्न के लिए, EnGenius Cloud Access Points Integration with Purple WiFi और DrayTek Vigor Routers and Access Points Integration with Purple WiFi पर हमारे गाइड देखें।

ROI और व्यावसायिक प्रभाव

बुनियादी PSK नेटवर्क से Purple-प्रबंधित OpenWrt आर्किटेक्चर पर संक्रमण तीन आयामों में मापने योग्य प्रभाव प्रदान करता है।

डेटा कैप्चर और मार्केटिंग। कैप्टिव पोर्टल प्रमाणीकरण लागू करके, स्थान WiFi कनेक्शन के समय अनुपालन-योग्य, प्रथम-पक्ष जनसांख्यिकीय डेटा - नाम, ईमेल पते, सोशल प्रोफाइल - कैप्चर करते हैं। यह डेटा सीधे CRM और ईमेल मार्केटिंग प्लेटफ़ॉर्म में जाता है, जिससे लॉयल्टी प्रोग्राम साइन-अप को बढ़ावा मिलता है और लक्षित अभियान सक्षम होते हैं। Purple ने 2024 में 440 मिलियन लॉगिन प्रोसेस किए हैं (Purple आंतरिक डेटा), जो नेटवर्क एज पर संभव प्रथम-पक्ष डेटा कैप्चर के पैमाने को प्रदर्शित करता है।

परिचालन दक्षता। PPSK को लागू करने से SSID ओवरहेड कम होता है, जिससे घने वातावरण में WiFi प्रदर्शन में सुधार होता है। 200-स्थानों वाली रिटेल चेन के लिए, प्रत्येक साइट पर स्थानीय राउटर कॉन्फ़िगरेशन को अपडेट करने के बजाय Purple के क्लाउड RADIUS के माध्यम से पहचान को केंद्रीय रूप से प्रबंधित करने से सालाना सैकड़ों इंजीनियरिंग घंटे बचते हैं। एक एकल RADIUS नीति परिवर्तन तुरंत सभी 200 स्थानों पर लागू हो जाता है।

सुरक्षा और अनुपालन। डायनेमिक VLAN असाइनमेंट एज पर न्यूनतम-विशेषाधिकार एक्सेस लागू करता है। स्टाफ को गेस्ट से अलग किया जाता है। IoT उपकरणों को स्टाफ से अलग किया जाता है। POS टर्मिनलों को अन्य सभी ट्रैफ़िक से अलग किया जाता है। यह सेगमेंटेशन PCI-DSS 4.0 नेटवर्क अलगाव आवश्यकताओं को पूरा करता है और GDPR अनुपालन समीक्षाओं के लिए एक स्पष्ट, ऑडिट योग्य नेटवर्क टोपोलॉजी प्रदान करता है।

वर्टिकल-विशिष्ट परिनियोजन पैटर्न के लिए, Retail , Hospitality , Healthcare , और Transport वातावरण के लिए हमारे गाइड देखें। आप स्थान परिनियोजन में पूरक वायरलेस तकनीकों को समझने के लिए What Is Wireless Display: Protocols & Best Practices 2026 पर हमारा गाइड भी उपयोगी पा सकते हैं।

मुख्य परिभाषाएं

CoovaChilli

एक ओपन-सोर्स सॉफ़्टवेयर एक्सेस कंट्रोलर जो वायरलेस नेटवर्क के लिए कैप्टिव पोर्टल और वॉल्ड-गार्डन वातावरण प्रदान करता है, प्रमाणीकरण और अकाउंटिंग के लिए RADIUS का उपयोग करता है।

IT टीमें गेस्ट HTTP ट्रैफ़िक को रोकने और उसे Purple स्प्लैश पेज पर रीडायरेक्ट करने के लिए OpenWrt पर CoovaChilli तैनात करती हैं। यह उन iptables नियमों का प्रबंधन करता है जो वॉल्ड गार्डन को लागू करते हैं और प्रमाणीकरण के बाद इंटरनेट एक्सेस प्रदान करते हैं।

Walled garden

IP पतों या डोमेन की एक सख्त अनुमति सूची (allowlist) जिसे एक अप्रमाणित उपयोगकर्ता कैप्टिव पोर्टल प्रमाणीकरण पूरा करने से पहले एक्सेस कर सकता है।

सामान्य इंटरनेट एक्सेस को ब्लॉक करते हुए गेस्ट उपकरणों को Purple पोर्टल ग्राफ़िक्स लोड करने और सोशल मीडिया लॉगिन API तक पहुँचने की अनुमति देने के लिए महत्वपूर्ण है। एक अधूरा वॉल्ड गार्डन कैप्टिव पोर्टल विफलताओं का सबसे आम कारण है।

PPSK (Private Pre-Shared Key)

एक सुरक्षा तंत्र जहाँ व्यक्तिगत उपयोगकर्ताओं या उपकरणों को एक ही WiFi SSID के लिए अद्वितीय पासफ़्रेज़ असाइन किए जाते हैं, जिसमें RADIUS प्रति डिवाइस MAC पते पर सही पासफ़्रेज़ और VLAN असाइनमेंट लौटाता है।

कई SSID प्रसारित किए बिना मल्टी-टेनेंट वातावरण को विभाजित करने के लिए उपयोग किया जाता है। hostapd में wpa_psk_radius पैरामीटर के माध्यम से OpenWrt में समर्थित है।

Dynamic VLAN assignment

वह प्रक्रिया जहाँ एक RADIUS सर्वर Tunnel-Type, Tunnel-Medium-Type, और Tunnel-Private-Group-ID RADIUS विशेषताओं का उपयोग करके एक्सेस पॉइंट को एक विशिष्ट प्रमाणित उपयोगकर्ता को एक विशिष्ट वर्चुअल LAN पर रखने का निर्देश देता है।

पहचान-आधारित नेटवर्क (Identity-Based Networks) के लिए मुख्य तंत्र। उपयोगकर्ता की पहचान, न कि उनका भौतिक पोर्ट, उनके नेटवर्क सेगमेंट और एक्सेस अधिकारों को निर्धारित करती है।

IEEE 802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए IEEE मानक, जो एंटरप्राइज़ WiFi प्रमाणीकरण में ऑथेंटिकेटर (एक्सेस पॉइंट), सप्लीकेंट (क्लाइंट डिवाइस), और प्रमाणीकरण सर्वर (RADIUS) की भूमिकाओं को परिभाषित करता है।

OpenWrt पर सुरक्षित स्टाफ WiFi के लिए अंतर्निहित प्रोटोकॉल। पूर्ण wpad या wpad-openssl पैकेज की आवश्यकता होती है - wpad-mini इसका समर्थन नहीं करता है।

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

एक 802.1X प्रमाणीकरण विधि जो पारस्परिक प्रमाणपत्र-आधारित प्रमाणीकरण का उपयोग करती है, जिसमें RADIUS सर्वर और क्लाइंट डिवाइस दोनों को वैध डिजिटल प्रमाणपत्र प्रस्तुत करने की आवश्यकता होती है।

कॉर्पोरेट डिवाइस प्रमाणीकरण के लिए स्वर्ण मानक। पासवर्ड को पूरी तरह से समाप्त करता है, क्रेडेंशियल चोरी और फ़िशिंग हमलों को बेअसर करता है। क्लाइंट प्रमाणपत्र जारी करने के लिए एक PKI बुनियादी ढांचे की आवश्यकता होती है।

Captive Network Assistant (CNA)

छद्म-ब्राउज़र (pseudo-browser) जिसे iOS और Android डिवाइस स्वचालित रूप से प्रदर्शित करते हैं जब वे विशिष्ट डिटेक्शन URL की जांच के आधार पर पता लगाते हैं कि वे एक कैप्टिव पोर्टल के पीछे हैं।

नेटवर्क इंजीनियरों को यह नियंत्रित करने के लिए अपने वॉल्ड गार्डन का सावधानीपूर्वक प्रबंधन करना चाहिए कि CNA स्वचालित रूप से ट्रिगर होता है या नहीं। अधिकांश हॉस्पिटैलिटी परिनियोजन CNA पॉप-अप को बाध्य करने के लिए Apple और Google डिटेक्शन डोमेन को बाहर रखते हैं।

RADIUS accounting

AAA (प्रमाणीकरण, प्राधिकरण, अकाउंटिंग) ढांचे का तीसरा स्तंभ, UDP पोर्ट 1813 पर सत्र प्रारंभ, अंतरिम अपडेट और सत्र समाप्ति घटनाओं को रिकॉर्ड करके नेटवर्क संसाधन खपत को ट्रैक करता है।

सत्र अवधि और बैंडविड्थ डेटा के साथ एनालिटिक्स डैशबोर्ड को पॉप्युलेट करने के लिए Purple द्वारा आवश्यक। CoovaChilli में HS_RADIUS2 और radiusacctport पैरामीटर के माध्यम से कॉन्फ़िगर किया गया।

hostapd

वायरलेस इंटरफेस को प्रबंधित करने के लिए OpenWrt द्वारा उपयोग किया जाने वाला ओपन-सोर्स IEEE 802.11 एक्सेस पॉइंट डेमन, जो WPA2/WPA3-Enterprise, 802.1X, और PPSK प्रमाणीकरण मोड का समर्थन करता है।

OpenWrt पर स्टाफ और PPSK WiFi के लिए मुख्य डेमन। `wpad-openssl` पैकेज एंटरप्राइज़ प्रमाणीकरण के लिए आवश्यक पूर्ण-विशेषताओं वाला hostapd बिल्ड प्रदान करता है।

Tunnel-Password attribute

PPSK परिनियोजन में उपयोग की जाने वाली एक RADIUS विशेषता (विशेषता 69) जो MAC प्रमाणीकरण के दौरान RADIUS सर्वर से एक्सेस पॉइंट पर प्रति-डिवाइस पासफ़्रेज़ लौटाती है।

वह तंत्र जिसके द्वारा Purple का RADIUS सर्वर PPSK-आधारित मल्टी-टेनेंट सेगमेंटेशन के लिए OpenWrt के hostapd डेमन को अद्वितीय PSK प्रदान करता है।

हल किए गए उदाहरण

एक 200-कमरों वाले होटल को स्तरीय WiFi एक्सेस प्रदान करने की आवश्यकता है: गेस्ट के लिए मुफ्त बुनियादी इंटरनेट, लॉयल्टी सदस्यों के लिए हाई-स्पीड एक्सेस, और स्टाफ पॉइंट-ऑफ-सेल (POS) उपकरणों के लिए सुरक्षित एक्सेस। IT टीम SSID ओवरहेड को कम करना चाहती है और POS टर्मिनलों और गेस्ट ट्रैफ़िक के बीच PCI-DSS नेटवर्क अलगाव लागू करना चाहती है।

दो SSID प्रसारित करने वाले OpenWrt एक्सेस पॉइंट तैनात करें: 'Hotel_Guest' (ओपन, CoovaChilli-प्रबंधित) और 'Hotel_Secure' (hostapd के माध्यम से PPSK-प्रबंधित)। 'Hotel_Guest' पर, CoovaChilli सभी अप्रमाणित ट्रैफ़िक को Purple स्प्लैश पेज पर रीडायरेक्ट करता है। गेस्ट पोर्टल के माध्यम से प्रमाणित होते हैं और VLAN 20 (केवल-इंटरनेट) पर आते हैं। 'Hotel_Secure' पर, wpa_psk_radius=2 के साथ hostapd कॉन्फ़िगर करें। जब किसी लॉयल्टी सदस्य का डिवाइस कनेक्ट होता है, तो RADIUS सर्वर उनका अद्वितीय PSK और VLAN 21 (उच्च बैंडविड्थ स्तर) लौटाता है। जब कोई POS टर्मिनल कनेक्ट होता, तो RADIUS सर्वर POS डिवाइस PSK और VLAN 10 (आंतरिक नेटवर्क एक्सेस, इंटरनेट ब्लॉक) लौटाता है। VLAN सेगमेंटेशन एक्सेस पॉइंट स्तर पर कार्डधारक डेटा (VLAN 10) और गेस्ट ट्रैफ़िक (VLAN 20 और 21) के बीच PCI-DSS अलगाव लागू करता है।

परीक्षक की टिप्पणी: यह आर्किटेक्चर कैप्टिव पोर्टल प्रवाह (गेस्ट) को PPSK प्रवाह (स्टाफ और लॉयल्टी) से अलग करने के लिए एक के बजाय दो SSID का उपयोग करता है। यह सही दृष्टिकोण है क्योंकि CoovaChilli और hostapd PPSK मौलिक रूप से विभिन्न प्रमाणीकरण मॉडलों की सेवा करते हैं। उन्हें एक ही SSID पर संयोजित करने के लिए एक RADIUS प्रॉक्सी कॉन्फ़िगरेशन की आवश्यकता होती है जो अनावश्यक जटिलता जोड़ता है। दो-SSID मॉडल सरल, अधिक विश्वसनीय और PCI-DSS अनुपालन के लिए ऑडिट करने में आसान है।

एक रिटेल चेन 50 स्थानों पर OpenWrt राउटर रोल आउट कर रही है। पहली साइट पर UAT के दौरान, रीडायरेक्ट के बाद Purple स्प्लैश पेज सही ढंग से लोड होता है, लेकिन Facebook लॉगिन बटन पर क्लिक करने से कनेक्शन टाइमआउट हो जाता है। Google Sign-In बटन सही ढंग से काम करता है।

समस्या एक अधूरा CoovaChilli वॉल्ड गार्डन है। Facebook के प्रमाणीकरण प्रवाह के लिए कई डोमेन तक पहुँच की आवश्यकता होती है: facebook.com, connect.facebook.net, और fbcdn.net (लॉगिन एसेट के लिए Facebook का CDN)। Google Sign-In काम करता है क्योंकि googleapis.com और gstatic.com पहले से ही वॉल्ड गार्डन में हैं। '/etc/chilli/defaults' में HS_UAMDOMAINS पैरामीटर को अपडेट करके '.facebook.com,.connect.facebook.net,.fbcdn.net' जोड़ें। '/etc/init.d/chilli restart' के साथ chilli डेमन को रीलोड करें और फिर से परीक्षण करें। भविष्य में वॉल्ड गार्डन की समस्याओं का व्यवस्थित रूप से निदान करने के लिए, गेस्ट SSID से एक परीक्षण डिवाइस कनेक्ट करें और प्रमाणीकरण से पहले कौन से अनुरोध कनेक्शन त्रुटियां लौटाते हैं, यह पहचानने के लिए ब्राउज़र डेवलपर टूल (नेटवर्क टैब) का उपयोग करें।

परीक्षक की टिप्पणी: आधुनिक सोशल लॉगिन प्रवाह कई CDN और API डोमेन से एसेट लोड करते हैं। अकेले Facebook SDK कम से कम तीन अलग-अलग डोमेन को संदर्भित करता है। वॉल्ड गार्डन डिबगिंग के लिए एक व्यवस्थित दृष्टिकोण - ब्लॉक किए गए प्री-ऑथ अनुरोधों की पहचान करने के लिए ब्राउज़र डेवलपर टूल का उपयोग करना - डोमेन सूचियों का अनुमान लगाने की तुलना में कहीं अधिक विश्वसनीय है। सभी 50 स्थानों पर लाइव होने से पहले, इंजीनियर को प्रत्येक कॉन्फ़िगर किए गए प्रमाणीकरण तरीके (Facebook, Google, ईमेल, SMS) का परीक्षण करना चाहिए और सत्यापित करना चाहिए कि प्रत्येक सफलतापूर्वक पूरा होता है।

अभ्यास प्रश्न

Q1. आपने Premier Inn संपत्ति पर CoovaChilli के साथ OpenWrt तैनात किया है। गेस्ट रिपोर्ट करते हैं कि जब वे गेस्ट WiFi से कनेक्ट होते हैं तो उनके iPhone स्वचालित रूप से उन्हें लॉगिन करने के लिए प्रेरित नहीं करते हैं। पोर्टल को ट्रिगर करने के लिए उन्हें मैन्युअल रूप से Safari खोलना होगा और एक HTTP साइट पर जाना होगा। कौन सा कॉन्फ़िगरेशन परिवर्तन इसका कारण बनता है, और आप इसे कैसे हल करते हैं?

संकेत: विचार करें कि एसोसिएशन पर iOS कैसे निर्धारित करता है कि नेटवर्क के पास पूर्ण इंटरनेट एक्सेस है या नहीं।

मॉडल उत्तर देखें

इंजीनियर ने HS_UAMDOMAINS के माध्यम से CoovaChilli वॉल्ड गार्डन में Apple का कैप्टिव पोर्टल डिटेक्शन डोमेन (captive.apple.com) शामिल किया है। जब कोई iPhone कनेक्ट होता है, तो iOS captive.apple.com पर एक जांच भेजता है। चूंकि यह डोमेन वॉल्ड गार्डन में है, इसलिए जांच पूर्व-प्रमाणीकरण में सफल हो जाती है, और iOS निष्कर्ष निकालता है कि उसके पास पूर्ण इंटरनेट एक्सेस है - जिससे Captive Network Assistant पॉप-अप दब जाता है। इसे हल करने के लिए, HS_UAMDOMAINS से captive.apple.com को हटा दें और chilli डेमन को पुनरारंभ करें। इसके बाद iOS उपकरणों को एक विफल जांच प्रतिक्रिया प्राप्त होगी, वे कैप्टिव पोर्टल की सही पहचान करेंगे, और स्वचालित रूप से लॉगिन प्रॉम्प्ट प्रदर्शित करेंगे।

Q2. एक कोवर्किंग स्पेस ऑपरेटर अपनी संपत्ति में IoT स्मार्ट थर्मोस्टेट तैनात करना चाहता है। वे पहले से ही एक 'Cowork_Guest' SSID (CoovaChilli) और एक 'Cowork_Staff' SSID (802.1X) प्रसारित करते हैं। थर्मोस्टेट WPA2-Enterprise का समर्थन नहीं करते हैं। आप तीसरा SSID जोड़े बिना उन्हें सुरक्षित रूप से कैसे ऑनबोर्ड करते हैं?

संकेत: IoT डिवाइस आमतौर पर केवल WPA2-PSK का समर्थन करते हैं। विचार करें कि प्रति-डिवाइस पासफ़्रेज़ का समर्थन करने के लिए किस मौजूदा SSID को बढ़ाया जा सकता है।

मॉडल उत्तर देखें

hostapd कॉन्फ़िगरेशन में wpa_psk_radius=2 को सक्षम करके 'Cowork_Staff' SSID पर PPSK कॉन्फ़िगर करें। प्रत्येक थर्मोस्टेट के MAC पते को Purple RADIUS सर्वर में एक अद्वितीय पासफ़्रेज़ और Tunnel-Private-Group-ID के रूप में VLAN 40 (IoT VLAN) के साथ पंजीकृत करें। जब कोई थर्मोस्टेट कनेक्ट होता है, तो hostapd डिवाइस MAC के साथ RADIUS सर्वर से पूछताछ करता है, अद्वितीय PSK और VLAN असाइनमेंट प्राप्त करता, और थर्मोस्टेट को VLAN 40 पर रखता है - जो VLAN 10 पर स्टाफ ट्रैफ़िक से पूरी तरह से अलग है। यह दृष्टिकोण तीसरे SSID से बचाता है, RF दक्षता बनाए रखता है, और 802.1X प्रमाणपत्र बुनियादी ढांचे की आवश्यकता के बिना IoT उपकरणों के लिए न्यूनतम-विशेषाधिकार एक्सेस लागू करता है।

Q3. एक रिटेल स्थान पर CoovaChilli के साथ OpenWrt तैनात करने के बाद, Purple एनालिटिक्स डैशबोर्ड शून्य सक्रिय सत्र और कोई बैंडविड्थ डेटा नहीं दिखाता है, इसके बावजूद कि गेस्ट सफलतापूर्वक कनेक्ट हो रहे हैं और इंटरनेट ब्राउज़ कर रहे हैं। इसका सबसे संभावित कारण क्या है, और इसका निदान करने के लिए दो चरण क्या हैं?

संकेत: प्रमाणीकरण (पोर्ट 1812) और अकाउंटिंग (पोर्ट 1813) अलग-अलग RADIUS कार्य हैं।

मॉडल उत्तर देखें

RADIUS अकाउंटिंग कॉन्फ़िगरेशन या तो गायब है या ब्लॉक है। चरण 1: CoovaChilli कॉन्फ़िगरेशन सत्यापित करें। जांचें कि /etc/chilli/defaults में HS_RADIUS और HS_RADIUS2 सही ढंग से सेट हैं, और पुष्टि करें कि radiusacctport 1813 पर सेट है। यदि HS_RADIUS2 कॉन्फ़िगर नहीं है, तो कोई अकाउंटिंग सर्वर परिभाषित नहीं है। चरण 2: फ़ायरवॉल नियमों को सत्यापित करें। पुष्टि करें कि OpenWrt राउटर से Purple RADIUS सर्वर IP पतों पर आउटबाउंड UDP पोर्ट 1813 ट्रैफ़िक की अनुमति स्थान के एज फ़ायरवॉल द्वारा दी गई है। यह पुष्टि करने के लिए कि अकाउंटिंग पैकेट भेजे जा रहे हैं या नहीं, OpenWrt डिवाइस पर 'tcpdump -i eth0 udp port 1813' का उपयोग करें। यदि पैकेट tcpdump में दिखाई देते हैं लेकिन डैशबोर्ड खाली रहता है, तो समस्या राउटर और Purple के क्लाउड RADIUS सर्वरों के बीच ट्रैफ़िक को ब्लॉक करने वाला फ़ायरवॉल है।

Q4. एक स्टेडियम में OpenWrt परिनियोजन प्रशंसक WiFi (VLAN 30), मीडिया (VLAN 40), और संचालन (VLAN 50) को विभाजित करने के लिए RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट का उपयोग करता है। ath10k ड्राइवरों के साथ OpenWrt 19.07 चलाने वाले नए हार्डवेयर में एक्सेस पॉइंट्स को अपग्रेड करने के बाद, VLAN असाइनमेंट काम करना बंद कर देता है। प्रमाणित उपयोगकर्ता RADIUS विशेषताओं की परवाह किए बिना डिफ़ॉल्ट VLAN पर आ जाते हैं। इसका ज्ञात कारण क्या है?

संकेत: ath10k में AP/VLAN मोड के लिए ड्राइवर-स्तरीय समर्थन पर विचार करें।

मॉडल उत्तर देखें

यह OpenWrt 19.07 में शामिल ath10k-ct (Candela Technologies) फ़र्मवेयर में एक ज्ञात प्रतिगमन (regression) है। इस रिलीज़ में ath10k-ct ड्राइवर में एक बग है जो AP/VLAN मोड को तोड़ता है, जिससे डायनेमिक VLAN असाइनमेंट काम नहीं कर पाता है। इसका समाधान OpenWrt 21.02 या बाद के संस्करण में अपग्रेड करना है, जहाँ AP/VLAN कार्यक्षमता को बहाल करने के लिए ath10k-ct ड्राइवर को अपडेट किया गया था। वैकल्पिक रूप से, 19.07 बिल्ड पर ath10k-ct फ़र्मवेयर को मानक ath10k फ़र्मवेयर (गैर-CT संस्करण) से बदलें। यह समस्या ath9k-आधारित हार्डवेयर को प्रभावित नहीं करती है, जो सभी OpenWrt संस्करणों में AP/VLAN मोड को सही ढंग से संभालता है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ Huawei AirEngine और CloudCampus एकीकरण

यह गाइड Huawei AirEngine एक्सेस पॉइंट्स और iMaster NCE-Campus को Purple WiFi के साथ एकीकृत करने के लिए चरण-दर-चरण निर्देश प्रदान करती है। इसमें एंटरप्राइज नेटवर्क के लिए कैप्टिव पोर्टल कॉन्फ़िगरेशन, 802.1X स्टाफ प्रमाणीकरण और PPSK डायनेमिक VLAN स्टीयरिंग शामिल है।

गाइड पढ़ें →