मुख्य सामग्री पर जाएं
हिन्दी

MikroTik RouterOS कैप्टिव पोर्टल और Purple WiFi एकीकरण गाइड

यह तकनीकी गाइड MikroTik RouterOS को Purple के WiFi प्लेटफॉर्म के साथ एकीकृत करने के लिए चरण-दर-चरण निर्देश प्रदान करती है। इसमें Guest WiFi कैप्टिव पोर्टल कॉन्फ़िगरेशन, Staff WiFi 802.1X प्रमाणीकरण, और डायनेमिक VLAN विभाजन के लिए Private PSKs का उपयोग करके Multi-Tenant WiFi शामिल है।

📖 4 मिनट का पाठ📝 872 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
MikroTik RouterOS कैप्टिव पोर्टल और Purple WiFi एकीकरण गाइड - पॉडकास्ट स्क्रिप्ट [INTRO - लगभग 1 मिनट] स्वागत है। यदि आप किसी होटल, रिटेल चेन, स्टेडियम या कॉन्फ्रेंस सेंटर में WiFi बुनियादी ढांचे का प्रबंधन कर रहे हैं, और आप MikroTik RouterOS चला रहे हैं, तो यह एपिसोड आपके लिए है। मैं आपको ठीक से बताने जा रहा हूँ कि MikroTik के Hotspot Gateway को Purple के गेस्ट WiFi प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए - जिसमें तीन अलग-अलग उपयोग के मामलों को शामिल किया गया है: कैप्टिव पोर्टल और वॉल्ड गार्डन के साथ गेस्ट WiFi, 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और MikroTik की Private Pre-Shared Key सुविधा का उपयोग करके बहु-किराएदार नेटवर्क अलगाव। यह कोई सैद्धांतिक अवलोकन नहीं है। इसके अंत तक, आपके पास विशिष्ट CLI कमांड, RADIUS एट्रिब्यूट और कॉन्फ़िगरेशन लॉजिक होंगे जिनकी आपको इन सेटअपों को स्वयं तैनात करने या ऑडिट करने के लिए आवश्यकता है। आइए शुरू करते हैं। [TECHNICAL DEEP-DIVE - लगभग 5 मिनट] भाग एक: Guest WiFi और MikroTik कैप्टिव पोर्टल। MikroTik का Hotspot Gateway, RouterOS पर गेस्ट WiFi रीडायरेक्शन के पीछे का इंजन है। जब कोई विज़िटर आपके गेस्ट SSID से कनेक्ट होता है, तो Hotspot Gateway उनके HTTP ट्रैफ़िक को रोकता है और उन्हें एक स्प्लैश पेज पर रीडायरेक्ट करता है - वह आपका कैप्टिव पोर्टल है। Purple उस स्प्लैश पेज को होस्ट करता है। आपका MikroTik राउटर Hotspot Gateway और RADIUS क्लाइंट के रूप में कार्य करता है। Purple का प्लेटफ़ॉर्म RADIUS सर्वर के रूप में कार्य करता है। यहाँ बताया गया है कि आप इसे कैसे सेट करते हैं। सबसे पहले, Winbox में IP मेनू से या CLI के माध्यम से Hotspot Setup विज़ार्ड चलाएँ। आप इसे अपने गेस्ट-फेसिंग इंटरफ़ेस - आमतौर पर एक VLAN इंटरफ़ेस या एक ब्रिज पोर्ट पर असाइन करेंगे। अपना स्थानीय एड्रेस पूल सेट करें, अपने DNS सर्वर कॉन्फ़िगर करें, और हॉटस्पॉट को एक DNS नाम दें। वह DNS नाम वही है जो मेहमान प्रमाणित होने से पहले अपने ब्राउज़र में देखते हैं। एक बार विज़ार्ड पूरा हो जाने पर, आपको हॉटस्पॉट प्रोफ़ाइल को Purple के RADIUS सर्वर पर इंगित करना होगा। CLI में, यह इस तरह दिखता है: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 फिर हॉटस्पॉट प्रोफ़ाइल पर RADIUS सक्षम करें: /ip hotspot profile set default use-radius=yes जब आप Purple डैशबोर्ड में अपना स्थान सेट करेंगे तो Purple आपको RADIUS IP पता, साझा सीक्रेट और स्प्लैश पेज URL प्रदान करेगा। अब, वॉल्ड गार्डन। यह महत्वपूर्ण है। इससे पहले कि कोई अतिथि प्रमाणित हो, उनके डिवाइस को Purple के स्प्लैश पेज और आपके द्वारा उपयोग किए जा रहे किसी भी OAuth प्रदाताओं - जैसे Google, Facebook आदि तक पहुंचने में सक्षम होना चाहिए। वॉल्ड गार्डन प्रविष्टियों के बिना, रीडायरेक्ट लूप टूट जाता है और मेहमान लॉग इन नहीं कर पाते हैं। RouterOS में, आप IP, Hotspot, Walled Garden के अंतर्गत वॉल्ड गार्डन प्रविष्टियाँ जोड़ते हैं। आपको Purple का स्प्लैश पेज डोमेन, कोई भी सोशल लॉगिन डोमेन और लॉगिन पेज एसेट की सेवा करने वाले किसी भी CDN होस्ट को जोड़ना होगा। Purple के दस्तावेज़ आपके क्षेत्र के लिए सटीक डोमेन सूचीबद्ध करते हैं। उन्हें IP प्रविष्टियों या होस्टनाम प्रविष्टियों के रूप में जोड़ें - IP पते बदलने पर होस्टनाम प्रविष्टियाँ अधिक लचीली होती हैं। सफल प्रमाणीकरण पर Purple द्वारा लौटाए जाने वाले प्रमुख RADIUS एट्रिब्यूट्स में सत्र टाइमआउट शामिल है, जो यह नियंत्रित करता है कि दोबारा संकेत दिए जाने से पहले एक अतिथि कितने समय तक कनेक्टेड रहता है, और वैकल्पिक रूप से Mikrotik-Rate-Limit वेंडर-विशिष्ट एट्रिब्यूट का उपयोग करके बैंडविड्थ दर सीमा। यह आपको राउटर कॉन्फ़िगरेशन को छुए बिना सीधे Purple डैशबोर्ड से प्रति अतिथि सत्र निष्पक्ष-उपयोग नीतियों को लागू करने की अनुमति देता है। भाग दो: 802.1X के साथ सुरक्षित Staff WiFi। यह वह जगह है जहाँ आप साझा पासवर्ड से पूरी तरह से दूर हो जाते हैं। IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए मानक है। MikroTik वायरलेस इंटरफ़ेस पर, आप WPA2-Enterprise या WPA3-Enterprise प्रमाणीकरण सक्षम करते हैं, जिसका अर्थ है कि एक्सेस पॉइंट एक ऑथेंटिकेटर बन जाता है - यह स्टाफ डिवाइस से EAP क्रेडेंशियल को RADIUS सर्वर पर भेजता है, जो उन्हें सत्यापित करता है और Access-Accept या Access-Reject लौटाता है। Purple का Staff WiFi उत्पाद पहचान प्रदाताओं के रूप में Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकृत होता है। जब किसी स्टाफ सदस्य का डिवाइस कनेक्ट होता है, तो यह PEAP-MSCHAPv2 के माध्यम से एक प्रमाणपत्र या उपयोगकर्ता नाम और पासवर्ड प्रस्तुत करता है। Purple का RADIUS सर्वर वास्तविक समय में आपके पहचान प्रदाता के खिलाफ उस क्रेडेंशियल को सत्यापित करता है। MikroTik पक्ष पर, आप वायरलेस सुरक्षा प्रोफ़ाइल को wpa2-eap पर सेट प्रमाणीकरण-प्रकारों के साथ कॉन्फ़िगर करते हैं, और आप RADIUS क्लाइंट को `service=wireless` के साथ Purple के सर्वर पर इंगित करते हैं। CAPsMAN में - जो कि MikroTik का केंद्रीकृत एक्सेस पॉइंट प्रबंधन सिस्टम है - आप इसे सुरक्षा कॉन्फ़िगरेशन स्तर पर सेट करते हैं ताकि यह आपके सभी प्रबंधित एक्सेस पॉइंट्स पर लगातार लागू हो। RADIUS सर्वर प्रमाणित कर्मचारियों को एक विशिष्ट VLAN पर रखने के लिए Mikrotik-Wireless-VLANID एट्रिब्यूट लौटा सकता है। इस तरह आप नेटवर्क विभाजन लागू करते हैं - वित्त कर्मचारी VLAN 10 पर आते हैं, संचालन VLAN 20 पर, और इसी तरह - सब कुछ एक ही SSID से, सब कुछ पहचान द्वारा संचालित। स्वचालित निरसन के लिए - जब कोई स्टाफ सदस्य छोड़ता है - आपके पहचान प्रदाता के साथ Purple के एकीकरण का अर्थ है कि जब आप Entra ID या Okta में खाते को अक्षम करते हैं, तो अगला पुन: प्रमाणीकरण प्रयास विफल हो जाता है और डिवाइस डिस्कनेक्ट हो जाता है। किसी मैन्युअल राउटर कॉन्फ़िगरेशन परिवर्तन की आवश्यकता नहीं है। भाग तीन: Private Pre-Shared Keys के साथ Multi-Tenant WiFi। यह तीनों में से सबसे अधिक आर्किटेक्चरल रूप से दिलचस्प है। Private PSK - जिसे कभी-कभी PPSK या iPSK कहा जाता है - आपको एक एकल SSID चलाने की अनुमति देता है जहाँ प्रत्येक किराएदार, निवासी या डिवाइस समूह एक अद्वितीय पासफ़्रेज़ के साथ कनेक्ट होता है, और प्रत्येक पासफ़्रेज़ एक अलग VLAN पर मैप होता है। MikroTik पर, यह वायरलेस इंटरफ़ेस पर MAC-आधारित RADIUS प्रमाणीकरण के माध्यम से काम करता है। जब कोई डिवाइस कनेक्ट होता है, तो एक्सेस पॉइंट डिवाइस के MAC पते को उपयोगकर्ता नाम के रूप में RADIUS सर्वर पर भेजता है। RADIUS सर्वर - या तो RouterOS 7 में MikroTik का अपना User Manager, या FreeRADIUS - उस MAC पते को देखता है और दो वेंडर-विशिष्ट एट्रिब्यूट लौटाता है: Mikrotik-Wireless-Psk, जो प्रति-डिवाइस पासफ़्रेज़ है, और Mikrotik-Wireless-VLANID, जो डिवाइस को सही VLAN पर रखता है। वायरलेस सुरक्षा प्रोफ़ाइल में radius-mac-authentication को yes पर सेट करने की आवश्यकता होती है, और RADIUS क्लाइंट को `service=wireless` की आवश्यकता होती है। व्यवहार में, 200 अपार्टमेंट वाले BTR प्रॉपर्टी के लिए, जब निवासी रहने आते हैं तो आप Purple के प्लेटफ़ॉर्म में प्रत्येक निवासी के डिवाइस MAC पते को पहले से पंजीकृत करेंगे। Purple प्रत्येक MAC को एक अद्वितीय PSK और उस अपार्टमेंट के नेटवर्क सेगमेंट के अनुरूप एक VLAN पर मैप करता है। निवासी अपने अपार्टमेंट पासफ़्रेज़ का उपयोग करके कनेक्ट होता है। उनके डिवाइस एक अलग VLAN पर आते हैं। उनके पड़ोसी के डिवाइस पूरी तरह से अलग VLAN पर होते हैं। कोई भी दूसरे का ट्रैफ़िक नहीं देख सकता है। उन उपकरणों के लिए जो 802.1X का समर्थन नहीं करते हैं - स्मार्ट टीवी, गेम कंसोल, IoT डिवाइस - यह दृष्टिकोण व्यावहारिक विकल्प है। डिवाइस को केवल WPA2-PSK का समर्थन करने की आवश्यकता है, जो कि हर डिवाइस करता है। [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - लगभग 2 मिनट] मैं आपको चार ऐसी चीजें बताता हूं जो इन परिनियोजनों में सबसे अधिक गलत होती हैं। पहला: वॉल्ड गार्डन अंतराल। यदि Purple का स्प्लैश पेज लोड होने में विफल रहता है, तो अपनी वॉल्ड गार्डन प्रविष्टियों की जांच करें। सबसे आम कारण एक गायब CDN डोमेन या एक सोशल लॉगिन रीडायरेक्ट है जो श्वेतसूची में नहीं है। प्रमाणीकरण से पहले कौन सी DNS क्वेरीज़ ब्लॉक की जा रही हैं, यह देखने के लिए MikroTik torch टूल या पैकेट स्निफर का उपयोग करें। दूसरा: RADIUS टाइमआउट बेमेल। MikroTik का डिफ़ॉल्ट RADIUS टाइमआउट 1,100 मिलीसेकंड है। यदि Purple का RADIUS सर्वर भौगोलिक रूप से दूर है या नेटवर्क पथ में लेटेंसी है, तो आपको रुक-रुक कर प्रमाणीकरण विफलताएं दिखाई देंगी। टाइमआउट को बढ़ाकर 3,000 मिलीसेकंड करें और लचीलेपन के लिए एक बैकअप RADIUS सर्वर कॉन्फ़िगर करें। तीसरा: ब्रिज पर VLAN फ़िल्टरिंग सक्षम नहीं है। RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट केवल तभी काम करता है जब ब्रिज VLAN फ़िल्टरिंग सक्षम हो। यह एक RouterOS आवश्यकता है। यदि आप देख रहे हैं कि RADIUS द्वारा लौटाए जाने के बावजूद सभी क्लाइंट डिफ़ॉल्ट VLAN पर आ रहे हैं, तो जांचें कि आपके ब्रिज इंटरफ़ेस पर `vlan-filtering=yes` सेट है या नहीं। चौथा: CAPsMAN संस्करण बेमेल। यदि आप CAPsMAN संस्करण 2 और संस्करण 3 प्रबंधित एक्सेस पॉइंट्स का मिश्रण चला रहे हैं, तो VLAN टैगिंग व्यवहार भिन्न हो सकता है। डायनेमिक VLAN सुविधाओं को तैनात करने से पहले अपने पूरे AP एस्टेट में CAPsMAN संस्करण 3 के साथ RouterOS 7 पर मानकीकरण करें। एक आर्किटेक्चरल सिफारिश: पहले दिन से ही अपने गेस्ट, स्टाफ और प्रबंधन ट्रैफ़िक को अलग VLAN पर चलाएं, भले ही आप तुरंत तीनों Purple उपयोग के मामलों का उपयोग नहीं कर रहे हों। एक फ्लैट नेटवर्क पर VLAN विभाजन को बाद में फिट करना शुरू से ही इसे बनाने की तुलना में काफी अधिक विघटनकारी है। [RAPID-FIRE Q AND A - लगभग 1 मिनट] क्या मैं बाहरी RADIUS सर्वर के बजाय MikroTik के अंतर्निहित User Manager का उपयोग कर सकता हूँ? हाँ, छोटे परिनियोजनों के लिए। RouterOS 7 में User Manager वायरलेस 802.1X के लिए PEAP-MSCHAPv2 का समर्थन करता है और Mikrotik-Wireless-VLANID एट्रिब्यूट लौटा सकता है। Purple के साथ प्रोडक्शन परिनियोजन के लिए, आप Purple के होस्ट किए गए RADIUS बुनियादी ढांचे का उपयोग करेंगे, जो आपके लिए पहचान प्रदाता एकीकरण और सत्र प्रबंधन को संभालता है। क्या Purple, MikroTik CAPsMAN का समर्थन करता है? हाँ। Purple हार्डवेयर-अज्ञेयवादी है। एकीकरण RADIUS और हॉटस्पॉट रीडायरेक्ट स्तर पर काम करता, इसलिए यह स्टैंडअलोन MikroTik एक्सेस पॉइंट्स और CAPsMAN-प्रबंधित परिनियोजन दोनों के साथ समान रूप से संगत है। मुझे किस RouterOS संस्करण की आवश्यकता है? इस गाइड में शामिल सभी तीन उपयोग के मामलों के लिए RouterOS 7.x की सिफारिश की जाती है। वायरलेस RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट और अपडेटेड User Manager, RouterOS 7 की विशेषताएं हैं। RouterOS 6.x हॉटस्पॉट और बुनियादी RADIUS प्रमाणीकरण का समर्थन करता है लेकिन इसमें कुछ वायरलेस VLAN क्षमताओं की कमी है। [SUMMARY AND NEXT STEPS - लगभग 1 मिनट] संक्षेप में: MikroTik RouterOS आपको Purple के साथ तीन अलग-अलग एकीकरण बिंदु देता है। Hotspot Gateway गेस्ट WiFi रीडायरेक्शन और कैप्टिव पोर्टल प्रमाणीकरण को संभालता है। RADIUS के साथ वायरलेस 802.1X कॉन्फ़िगरेशन पहचान-आधारित पहुंच के साथ सुरक्षित स्टाफ WiFi को संभालता है। और Private PSK के साथ MAC-आधारित RADIUS प्रमाणीकरण आवासीय और मिश्रित-उपयोग वाली संपत्तियों के लिए बहु-किराएदार नेटवर्क अलगाव को संभालता है। तीनों में समान सूत्र RADIUS है। अपने RADIUS क्लाइंट कॉन्फ़िगरेशन को सही करें - सही IP, सही साझा सीक्रेट, सही सेवा प्रकार, सही टाइमआउट - और बाकी सब अपने आप हो जाता है। आपके अगले कदम: अपने Purple डैशबोर्ड में लॉग इन करें, स्थान कॉन्फ़िगरेशन पर जाएं, और अपने RADIUS क्रेडेंशियल प्राप्त करें। फिर अपनी हॉटस्पॉट प्रोफ़ाइल, अपनी वायरलेस सुरक्षा प्रोफ़ाइल और अपनी वॉल्ड गार्डन प्रविष्टियों को कॉन्फ़िगर करने के लिए लिखित गाइड में CLI कमांड का पालन करें। अपने पूरे एस्टेट में रोल आउट करने से पहले एक एकल एक्सेस पॉइंट के साथ परीक्षण करें। यदि आप इसे बड़े पैमाने पर तैनात कर रहे हैं - कई साइटें, सैकड़ों एक्सेस पॉइंट - तो Purple की व्यावसायिक सेवा टीम रोलआउट का समर्थन कर सकती है। Purple विश्व स्तर पर 80,000 लाइव स्थानों पर चलता है, 99.999% अपटाइम के साथ, और ISO 27001, GDPR, और Cyber Essentials के लिए प्रमाणित है। सुनने के लिए धन्यवाद। सभी CLI कमांड, RADIUS एट्रिब्यूट टेबल और हल किए गए उदाहरणों के साथ पूरी लिखित गाइड शो नोट्स में लिंक की गई है।

header_image.png

कार्यकारी सारांश

MikroTik RouterOS को Purple के साथ एकीकृत करने से अतिथि, कर्मचारी और बहु-किराएदार परिवेशों में एक एकीकृत, पहचान-संचालित नेटवर्क बनता है। यह गाइड MikroTik हार्डवेयर पर Purple के क्लाउड ओवरले को तैनात करने के लिए आवश्यक विशिष्ट कॉन्फ़िगरेशन लॉजिक प्रदान करती है। आप सीखेंगे कि Guest WiFi रीडायरेक्शन के लिए RouterOS Hotspot Gateway को कैसे कॉन्फ़िगर करें, सुरक्षित Staff WiFi के लिए IEEE 802.1X को कैसे लागू करें, और Multi-Tenant WiFi ट्रैफ़िक को अलग करने के लिए Private Pre-Shared Keys (PPSK) को कैसे तैनात करें।

इन परिनियोजन मॉडलों का पालन करके, आप WiFi Analytics के लिए फ़र्स्ट-पार्टी डेटा कैप्चर करते हुए अपने नेटवर्क को सुरक्षित रूप से विभाजित करते हैं। Purple ने 99.999% अपटाइम के साथ 2024 में 440 मिलियन लॉगिन प्रोसेस किए, जिससे यह आर्किटेक्चर Retail , Hospitality , और Transport में उच्च-घनत्व वाले वातावरण के लिए उपयुक्त बन जाता है।

तकनीकी गहन विश्लेषण

Guest WiFi: कैप्टिव पोर्टल और वॉल्ड गार्डन

MikroTik Hotspot Gateway अप्रमाणित HTTP ट्रैफ़िक को रोकता है और इसे Purple के होस्ट किए गए कैप्टिव पोर्टल पर रीडायरेक्ट करता है। Purple एक RADIUS सर्वर के रूप में कार्य करता है, जो प्रमाणीकरण और सत्र प्रबंधन को संभालता है।

यह सुनिश्चित करने के लिए कि कैप्टिव पोर्टल सही ढंग से लोड हो, आपको एक वॉल्ड गार्डन कॉन्फ़िगर करना होगा। यह Purple के स्प्लैश पेज डोमेन, कंटेंट डिलीवरी नेटवर्क (CDNs), और OAuth प्रदाताओं (जैसे Google Workspace और Microsoft Entra ID) तक प्री-ऑथेंटिकेशन एक्सेस की अनुमति देता है। इन प्रविष्टियों के बिना, रीडायरेक्ट लूप टूट जाता है।

सफल प्रमाणीकरण पर, Purple का RADIUS सर्वर कनेक्शन सीमाओं को लागू करने के लिए Session-Timeout सहित मानक एट्रिब्यूट लौटाता है, और वैकल्पिक रूप से सीधे Purple डैशबोर्ड से बैंडविड्थ सीमाओं को लागू करने के लिए Mikrotik-Rate-Limit लौटाता है।

Staff WiFi: 802.1X प्रमाणीकरण

Staff WiFi के लिए, आप IEEE 802.1X को तैनात करके साझा किए गए पासवर्ड को समाप्त करते हैं। MikroTik एक्सेस पॉइंट ऑथेंटिकेटर के रूप में कार्य करता है, जो EAP क्रेडेंशियल को Purple के RADIUS सर्वर पर भेजता है। Purple मूल रूप से Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकृत होता है, जो PEAP-MSCHAPv2 या EAP-TLS के माध्यम से क्रेडेंशियल को सत्यापित करता है।

जब कोई कर्मचारी कनेक्ट होता है, तो Purple का RADIUS सर्वर Mikrotik-Wireless-VLANID एट्रिब्यूट लौटा सकता है। यह MikroTik राउटर को प्रमाणित डिवाइस को एक विशिष्ट VLAN पर रखने का निर्देश देता है, जिससे एकल SSID से भूमिका-आधारित नेटवर्क विभाजन सक्षम होता है। सुरक्षा मानकों के व्यापक अवलोकन के लिए, Enterprise WiFi Security: A Complete Guide for 2026 देखें।

Multi-Tenant WiFi: Private PSK (PPSK)

Multi-Tenant परिवेशों को 802.1X की जटिलता के बिना सुरक्षित अलगाव की आवश्यकता होती है, क्योंकि कई उपभोक्ता डिवाइस (जैसे स्मार्ट टीवी और गेम कंसोल) इसका समर्थन नहीं करते हैं। MikroTik, MAC-आधारित RADIUS प्रमाणीकरण के माध्यम से Private PSK (PPSK) का समर्थन करता है।

जब कोई डिवाइस SSID से कनेक्ट होता है, तो MikroTik राउटर डिवाइस का MAC पता Purple को भेजता है। Purple Mikrotik-Wireless-Psk एट्रिब्यूट (उस किराएदार के लिए अद्वितीय पासफ़्रेज़) और Mikrotik-Wireless-VLANID एट्रिब्यूट लौटाता है। यह आर्किटेक्चर सैकड़ों किराएदारों को पूरी तरह से अलग नेटवर्क बबल में रहते हुए एक ही SSID साझा करने की अनुमति देता है।

architecture_overview.png

कार्यान्वयन गाइड

1. RADIUS क्लाइंट को कॉन्फ़िगर करना

सबसे पहले, RouterOS में Purple को RADIUS सर्वर के रूप में परिभाषित करें। यह तीनों उपयोग के मामलों पर लागू होता है।

/radius
add address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET service=hotspot,wireless authentication-port=1812 accounting-port=1813 timeout=3000ms

2. Guest WiFi Hotspot सेटअप

अपने गेस्ट VLAN इंटरफ़ेस पर Hotspot सेटअप विज़ार्ड चलाएँ, फिर परिणामी प्रोफ़ाइल पर RADIUS प्रमाणीकरण सक्षम करें।

/ip hotspot profile
set [ find default=yes ] use-radius=yes radius-accounting=yes

Purple के बुनियादी ढांचे तक पहुंच की अनुमति देने के लिए वॉल्ड गार्डन को कॉन्फ़िगर करें।

/ip hotspot walled-garden
add action=allow dst-host=*purple.ai
add action=allow dst-host=*purpleportal.net

3. Staff WiFi 802.1X सेटअप

WPA2-Enterprise का उपयोग करने के लिए वायरलेस सुरक्षा प्रोफ़ाइल को कॉन्फ़िगर करें और इसे RADIUS सर्वर पर इंगित करें।

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=passthrough mode=dynamic-keys name=staff-8021x radius-mac-authentication=no

डायनेमिक VLAN असाइनमेंट का समर्थन करने के लिए ब्रिज VLAN फ़िल्टरिंग सक्षम होना सुनिश्चित करें।

/interface bridge
set bridge1 vlan-filtering=yes

4. Multi-Tenant PPSK सेटअप

PPSK के लिए, वायरलेस सुरक्षा प्रोफ़ाइल पर MAC प्रमाणीकरण सक्षम करें और MAC पता प्रारूप कॉन्फ़िगर करें।

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=multi-tenant-ppsk radius-mac-authentication=yes radius-mac-format=XX:XX:XX:XX:XX:XX

ppsk_vlan_diagram.png

सर्वोत्तम प्रथाएं

  • RouterOS 7 पर मानकीकरण करें: RouterOS 6 की तुलना में RouterOS 7 में वायरलेस RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट काफी अधिक मजबूत है।
  • RADIUS टाइमआउट बढ़ाएं: डिफ़ॉल्ट MikroTik RADIUS टाइमआउट 1100ms है। नेटवर्क लेटेंसी के कारण होने वाली रुक-रुक कर होने वाली प्रमाणीकरण विफलताओं को रोकने के लिए इसे बढ़ाकर 3000ms करें।
  • होस्टनाम वॉल्ड गार्डन प्रविष्टियों का उपयोग करें: वॉल्ड गार्डन प्रविष्टियों के लिए हमेशा dst-address के बजाय dst-host का उपयोग करें, क्योंकि क्लाउड इन्फ्रास्ट्रक्चर IP पते अक्सर बदलते रहते हैं।
  • ब्रिज VLAN फ़िल्टरिंग सक्षम करें: RADIUS (Mikrotik-Wireless-VLANID) के माध्यम से डायनेमिक VLAN असाइनमेंट के लिए ब्रिज इंटरफ़ेस पर vlan-filtering=yes होना आवश्यक है।

समस्या निवारण और जोखिम शमन

यदि कैप्टिव पोर्टल लोड होने में विफल रहता है, तो वॉल्ड गार्डन निश्चित रूप से अधूरा है। गेस्ट VLAN पर अप्रमाणित क्लाइंट्स से ड्रॉप की गई DNS क्वेरीज़ की निगरानी के लिए MikroTik Torch टूल का उपयोग करें। छूटे हुए डोमेन को वॉल्ड गार्डन में जोड़ें।

यदि 802.1X क्लाइंट प्रमाणित होने में विफल रहते हैं, तो साझा किए गए सीक्रेट को सत्यापित करें और सुनिश्चित करें कि RADIUS क्लाइंट service=wireless के साथ कॉन्फ़िगर किया गया है। यह पुष्टि करने के लिए कि Access-Reject, Purple से आ रहा है या आपके पहचान प्रदाता से, Purple डैशबोर्ड लॉग की जांच करें।

यदि क्लाइंट प्रमाणित होते हैं लेकिन गलत IP पता प्राप्त करते हैं, तो पुष्टि करें कि ब्रिज VLAN फ़िल्टरिंग सक्षम है और DHCP सर्वर गतिशील रूप से असाइन किए गए VLAN इंटरफ़ेस से सही ढंग से जुड़ा हुआ है।

ROI और व्यावसायिक प्रभाव

अपने MikroTik बुनियादी ढांचे में Purple को तैनात करने से लागत केंद्र एक राजस्व जनरेटर में बदल जाता है। फ़र्स्ट-पार्टी डेटा कैप्चर करके, स्थान विस्तृत डिजिटल प्रोफ़ाइल बना सकते हैं और मार्केटिंग अभियानों को स्वचालित कर सकते हैं। उदाहरण के लिए, Avanti West Coast ने बार-बार यात्रा करने वालों और अपसेल अवसरों का लाभ उठाकर निवेश पर 463% रिटर्न प्राप्त किया।

इसके अलावा, पहचान-संचालित नेटवर्किंग IT ओवरहेड को कम करती है। Entra ID के माध्यम से Staff WiFi के लिए ऑनबोर्डिंग और ऑफबोर्डिंग को स्वचालित करने से मैन्युअल पासवर्ड प्रबंधन समाप्त हो जाता, जबकि Multi-Tenant WiFi के लिए PPSK संपत्ति प्रबंधकों को प्रति यूनिट समर्पित हार्डवेयर तैनात किए बिना अलग नेटवर्क प्रदान करने की अनुमति देता है।

मुख्य परिभाषाएं

Hotspot Gateway

एक RouterOS सुविधा जो अप्रमाणित HTTP ट्रैफ़िक को रोकती है और इसे कैप्टिव पोर्टल स्प्लैश पेज पर रीडायरेक्ट करती है।

इंटरनेट एक्सेस देने से पहले अतिथि डेटा कैप्चर करने और सेवा की शर्तों को लागू करने के लिए उपयोग किया जाता है।

Walled Garden

अनुमत गंतव्यों की एक सूची जिसे अप्रमाणित उपयोगकर्ता एक्सेस कर सकते हैं।

लॉगिन प्रक्रिया को पूरा करने के लिए मेहमानों को Purple स्प्लैश पेज, CDNs, और OAuth प्रदाताओं (जैसे Google) तक पहुंचने की अनुमति देने के लिए महत्वपूर्ण है।

802.1X

पोर्ट-आधारित नेटवर्क एक्सेस नियंत्रण के लिए एक IEEE मानक जो LAN या WLAN से जुड़ने के इच्छुक उपकरणों को प्रमाणीकरण तंत्र प्रदान करता है।

सुरक्षित Staff WiFi के लिए उपयोग किया जाता है, जिससे साझा पासवर्ड के बजाय Entra ID या Okta के माध्यम से प्रमाणीकरण की अनुमति मिलती है।

Private PSK (PPSK)

एक सुरक्षा आर्किटेक्चर जहां एक ही SSID पर कई अद्वितीय Pre-Shared Keys का उपयोग किया जाता है, जो अक्सर विशिष्ट MAC पते और VLAN से जुड़े होते हैं।

Multi-Tenant WiFi के लिए आदर्श, निवासियों और उनके उपभोक्ता उपकरणों के लिए अलग नेटवर्क बबल प्रदान करता है।

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है।

पहचान सत्यापन के लिए MikroTik हार्डवेयर को Purple के क्लाउड प्लेटफॉर्म से जोड़ने वाला मुख्य प्रोटोकॉल।

VLAN Filtering

एक RouterOS ब्रिज सेटिंग जो ब्रिज पोर्ट पर VLAN टैगिंग और अनटैगिंग नियमों को लागू करती है।

RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट को सही ढंग से कार्य करने के लिए सक्षम होना चाहिए।

CAPsMAN

Controlled Access Point system Manager. MikroTik का केंद्रीकृत वायरलेस प्रबंधन सिस्टम।

कई एक्सेस पॉइंट्स पर सुसंगत वायरलेस सुरक्षा प्रोफ़ाइल और RADIUS सेटिंग्स तैनात करने के लिए उपयोग किया जाता है।

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. एक अत्यधिक सुरक्षित प्रमाणीकरण विधि जिसके लिए क्लाइंट-साइड प्रमाणपत्रों की आवश्यकता होती है।

शून्य-विश्वास Staff WiFi परिनियोजन के लिए Purple द्वारा समर्थित जहां पासवर्ड रहित प्रमाणीकरण की आवश्यकता होती है।

हल किए गए उदाहरण

एक 200 कमरों वाले होटल को अपने MikroTik एक्सेस पॉइंट्स पर सुरक्षित Staff WiFi तैनात करने की आवश्यकता है। वे अपने मौजूदा Microsoft Entra ID क्रेडेंशियल का उपयोग करके, वित्त कर्मचारियों को VLAN 10 पर और संचालन कर्मचारियों को VLAN 20 पर चाहते हैं।

  1. Purple डैशबोर्ड में Purple को Microsoft Entra ID के साथ एकीकृत करें।
  2. service=wireless के साथ Purple को इंगित करने के लिए MikroTik RADIUS क्लाइंट को कॉन्फ़िगर करें।
  3. authentication-types=wpa2-eap के साथ एक MikroTik वायरलेस सुरक्षा प्रोफ़ाइल बनाएं।
  4. MikroTik ब्रिज पर vlan-filtering=yes सक्षम करें।
  5. Purple में, 'Finance' समूह को Mikrotik-Wireless-VLANID=10 और 'Operations' समूह को Mikrotik-Wireless-VLANID=20 लौटाने के लिए मैप करें।
परीक्षक की टिप्पणी: यह दृष्टिकोण सुरक्षित, पासवर्ड रहित प्रमाणीकरण के लिए IEEE 802.1X का उपयोग करता है। Entra ID समूहों और RADIUS एट्रिब्यूट्स पर भरोसा करके, नेटवर्क किनारे पर ट्रैफ़िक को गतिशील रूप से विभाजित करता है, जिससे हमले की संभावना कम हो जाती है और राउटर पर मैन्युअल VLAN कॉन्फ़िगरेशन की आवश्यकता समाप्त हो जाती है।

एक BTR संपत्ति प्रबंधक को MikroTik CAPsMAN से प्रसारित होने वाले एकल SSID का उपयोग करके 50 अपार्टमेंट के लिए अलग WiFi नेटवर्क प्रदान करने की आवश्यकता है।

  1. authentication-types=wpa2-psk और radius-mac-authentication=yes के साथ SSID के लिए MikroTik वायरलेस सुरक्षा प्रोफ़ाइल को कॉन्फ़िगर करें।
  2. सुनिश्चित करें कि RADIUS क्लाइंट Purple की ओर इशारा करते हुए service=wireless के साथ कॉन्फ़िगर किया गया है।
  3. Purple डैशबोर्ड में, निवासियों के उपकरणों के MAC पते पंजीकृत करें।
  4. Purple में प्रत्येक अपार्टमेंट के लिए एक अद्वितीय PSK और VLAN ID असाइन करें।
  5. जब कोई डिवाइस कनेक्ट होता है, तो Purple Mikrotik-Wireless-Psk और Mikrotik-Wireless-VLANID एट्रिब्यूट लौटाता है, जिससे डिवाइस अपने अलग नेटवर्क बबल में आ जाता है।
परीक्षक की टिप्पणी: यह Private PSK (PPSK) आर्किटेक्चर उपभोक्ता उपकरणों का समर्थन करते हुए एंटरप्राइज़-ग्रेड अलगाव प्रदान करता है जिनमें 802.1X क्षमताओं की कमी होती है। यह कुशलतापूर्वक स्केल करता है और Purple के माध्यम से केंद्रीकृत प्रबंधन की अनुमति देता है।

अभ्यास प्रश्न

Q1. आपने MikroTik Hotspot Gateway को कॉन्फ़िगर किया है और इसे Purple के RADIUS सर्वर पर इंगित किया है। अतिथि SSID से कनेक्ट होते हैं, लेकिन उनके ब्राउज़र Purple स्प्लैश पेज के बजाय टाइमआउट त्रुटि प्रदर्शित करते हैं। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है?

संकेत: विचार करें कि अतिथि के प्रमाणित होने से पहले क्या होना चाहिए।

मॉडल उत्तर देखें

वॉल्ड गार्डन गलत तरीके से कॉन्फ़िगर किया गया है या प्रविष्टियां गायब हैं। /ip hotspot walled-garden में Purple के स्प्लैश पेज डोमेन और संबंधित CDNs तक पहुंच की अनुमति दिए बिना, अप्रमाणित अतिथि लॉगिन पेज लोड नहीं कर सकता है, जिसके परिणामस्वरूप टाइमआउट होता है।

Q2. एक रिटेल चेन 802.1X और Entra ID का उपयोग करके Staff WiFi तैनात करना चाहती है। वे `authentication-types=wpa2-eap` कॉन्फ़िगर करते हैं और RADIUS क्लाइंट सेट करते हैं। हालाँकि, प्रमाणीकरण विफल हो जाता है। आप RADIUS क्लाइंट कॉन्फ़िगरेशन की जाँच करते हैं और `service=hotspot` देखते हैं। आप इसे कैसे हल करेंगे?

संकेत: विभिन्न वायरलेस प्रमाणीकरण विधियों के लिए RouterOS में विभिन्न RADIUS सेवा प्रकारों की आवश्यकता होती है।

मॉडल उत्तर देखें

RADIUS क्लाइंट कॉन्फ़िगरेशन को service=wireless शामिल करने के लिए बदलें। hotspot सेवा प्रकार का उपयोग केवल कैप्टिव पोर्टल प्रमाणीकरण के लिए किया जाता है। 802.1X और MAC प्रमाणीकरण के लिए wireless सेवा प्रकार की आवश्यकता होती है।

Q3. आप Private PSKs का उपयोग करके Multi-Tenant WiFi तैनात कर रहे हैं। Purple सफलतापूर्वक `Mikrotik-Wireless-Psk` और `Mikrotik-Wireless-VLANID` एट्रिब्यूट लौटाता है, और डिवाइस कनेक्ट हो जाता है। हालाँकि, डिवाइस को डिफ़ॉल्ट प्रबंधन सबनेट से IP पता प्राप्त होता है, न कि अलग किए गए किराएदार सबनेट से। कौन सी RouterOS सेटिंग गायब है?

संकेत: डायनेमिक VLAN असाइनमेंट के लिए ब्रिज को VLAN टैग को प्रोसेस करने की आवश्यकता होती है।

मॉडल उत्तर देखें

ब्रिज VLAN फ़िल्टरिंग अक्षम है। आपको ब्रिज इंटरफ़ेस पर vlan-filtering=yes सेट करना होगा। इसके बिना, ब्रिज RADIUS द्वारा असाइन किए गए डायनेमिक VLAN टैग को अनदेखा कर देता है, और ट्रैफ़िक डिफ़ॉल्ट अनटैग किए गए PVID पर वापस आ जाता है।

इस श्रृंखला में आगे पढ़ें

Purple WiFi के साथ Grandstream GWN Access Points का एकीकरण

यह आधिकारिक तकनीकी संदर्भ गाइड विस्तार से बताती है कि Grandstream GWN access points को Purple के Guest WiFi और एनालिटिक्स प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए। यह Grandstream कैप्टिव पोर्टल कॉन्फ़िगरेशन, RADIUS AAA सेटिंग्स, walled garden सेटअप, डायनेमिक VLAN स्टीयरिंग के साथ सुरक्षित स्टाफ 802.1X प्रमाणीकरण, और मल्टी-टेनेंट PPSK विभाजन को कवर करता है - जो बड़े पैमाने पर अतिथि और स्टाफ WiFi तैनात करने वाले MSPs और आईटी टीमों के लिए व्यावहारिक, चरण-दर-चरण मार्गदर्शन प्रदान करता है।

गाइड पढ़ें →

Cisco WLC और Catalyst एकीकरण Purple WiFi के साथ: चरण-दर-चरण अतिथि एक्सेस गाइड

यह गाइड Purple के साथ Cisco WLC और Catalyst 9800 Wireless के चरण-दर-चरण एकीकरण का विवरण देती है, जिसमें Central Web Authentication के माध्यम से Guest WiFi कैप्टिव पोर्टल रीडायरेक्शन, 802.1X EAP-TLS का उपयोग करके सुरक्षित Staff WiFi, और डायनेमिक VLAN असाइनमेंट के साथ Cisco Identity Pre-Shared Keys (iPSK) का उपयोग करके मल्टी-टेनेंट सेगमेंटेशन शामिल है। यह उन एंटरप्राइज नेटवर्क आर्किटेक्ट्स और IT सुरक्षा निदेशकों के लिए लिखी गई है जो हॉस्पिटैलिटी, रिटेल और बड़े सार्वजनिक वेन्यू में Cisco इन्फ्रास्ट्रक्चर को डिप्लॉय कर रहे हैं।

गाइड पढ़ें →

Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर एकीकरण

यह गाइड Purple WiFi के साथ OpenWrt कस्टम फ़र्मवेयर को तैनात करने के लिए संपूर्ण एकीकरण प्लेबुक प्रदान करती है। इसमें CoovaChilli कैप्टिव पोर्टल कॉन्फ़िगरेशन, iptables वॉल्ड गार्डन प्रबंधन, hostapd के साथ 802.1X सुरक्षित स्टाफ WiFi, और डायनेमिक VLAN असाइनमेंट के साथ मल्टी-टेनेंट PPSK सेगमेंटेशन शामिल है - जो IT टीमों को किसी भी OpenWrt-सक्षम हार्डवेयर पर पहचान-आधारित नेटवर्क बनाने के लिए आवश्यक सटीक कॉन्फ़िगरेशन चरण प्रदान करता है।

गाइड पढ़ें →