Mikrotik RouterOS और गेस्ट WiFi: Purple के साथ captive portal सेटअप

MikroTik RouterOS Captive Portal और Purple WiFi एकीकरण गाइड - पॉडकास्ट स्क्रिप्ट [इंट्रो - लगभग 1 मिनट] आपका स्वागत है। यदि आप किसी होटल, रिटेल चेन, स्टेडियम या कॉन्फ्रेंस सेंटर में WiFi इंफ्रास्ट्रक्चर का प्रबंधन कर रहे हैं, और आप MikroTik RouterOS चला रहे हैं, तो यह एपिसोड आपके लिए है। मैं आपको बिल्कुल विस्तार से बताऊंगा कि MikroTik के Hotspot Gateway को Purple के गेस्ट WiFi प्लेटफॉर्म के साथ कैसे एकीकृत किया जाए - जिसमें तीन अलग-अलग उपयोग के मामले शामिल हैं: Captive Portal और वॉल्ड गार्डन के साथ गेस्ट WiFi, 802.1X का उपयोग करके सुरक्षित स्टाफ WiFi, और MikroTik के प्राइवेट प्री-शेयर्ड की फीचर का उपयोग करके मल्टी-टेनेंट नेटवर्क अलगाव। यह कोई सैद्धांतिक ओवरव्यू नहीं है। इसके समाप्त होने तक, आपके पास इन सेटअप को स्वयं तैनात करने या ऑडिट करने के लिए आवश्यक विशिष्ट CLI कमांड, RADIUS एट्रिब्यूट्स और कॉन्फ़िगरेशन लॉजिक होंगे। आइए इस पर चर्चा शुरू करते हैं। [तकनीकी रूप से विस्तृत विश्लेषण - लगभग 5 मिनट] भाग एक: गेस्ट WiFi और MikroTik Captive Portal। MikroTik का Hotspot Gateway RouterOS पर गेस्ट WiFi रीडायरेक्शन के पीछे का इंजन है। जब कोई विजिटर आपके गेस्ट SSID से जुड़ता है, तो Hotspot Gateway उनके HTTP ट्रैफ़िक को इंटरसेप्ट करता है और उन्हें एक स्प्लैश पेज पर रीडायरेक्ट करता है - जो कि आपका Captive Portal है। Purple उस स्प्लैश पेज को होस्ट करता है। आपका MikroTik राउटर Hotspot Gateway और RADIUS क्लाइंट के रूप में कार्य करता है। Purple का प्लेटफॉर्म RADIUS सर्वर के रूप में कार्य करता है। इसे सेटअप करने का तरीका यहां दिया गया है। सबसे पहले, Winbox में IP मेनू से या CLI के माध्यम से Hotspot Setup विज़ार्ड चलाएं। आप इसे अपने गेस्ट-फेसिंग इंटरफ़ेस - आमतौर पर एक VLAN इंटरफ़ेस या एक ब्रिज पोर्ट पर असाइन करेंगे। अपना लोकल एड्रेस पूल सेट करें, अपने DNS सर्वर को कॉन्फ़िगर करें, और हॉटस्पॉट को एक DNS नाम दें। वह DNS नाम वही है जो मेहमान प्रमाणीकरण करने से पहले अपने ब्राउज़र में देखते हैं। एक बार विज़ार्ड पूरा हो जाने पर, आपको हॉटस्पॉट प्रोफाइल को Purple के RADIUS सर्वर पर इंगित करना होगा। CLI में, यह इस तरह दिखता है: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 फिर हॉटस्पॉट प्रोफाइल पर RADIUS सक्षम करें: /ip hotspot profile set default use-radius=yes जब आप Purple डैशबोर्ड में अपना वेन्यू सेटअप करेंगे, तो Purple आपको RADIUS IP एड्रेस, शेयर्ड सीक्रेट और स्प्लैश पेज URL प्रदान करेगा। अब, वॉल्ड गार्डन। यह अत्यंत महत्वपूर्ण है। किसी गेस्ट के प्रमाणित होने से पहले, उनके डिवाइस को Purple के स्प्लैश पेज और आपके द्वारा उपयोग किए जा रहे किसी भी OAuth प्रदाता - जैसे Google, Facebook आदि तक पहुँचने में सक्षम होना चाहिए। वॉल्ड गार्डन प्रविष्टियों के बिना, रीडायरेक्ट लूप टूट जाता है और गेस्ट लॉग इन नहीं कर पाते हैं। RouterOS में, आप IP, Hotspot, Walled Garden के अंतर्गत वॉल्ड गार्डन प्रविष्टियाँ जोड़ते हैं। आपको Purple का स्प्लैश पेज डोमेन, कोई भी सोशल लॉगिन डोमेन और लॉगिन पेज एसेट्स की सेवा देने वाले किसी भी CDN होस्ट को जोड़ना होगा। Purple का दस्तावेज़ आपके क्षेत्र के लिए सटीक डोमेन सूचीबद्ध करता है। उन्हें IP प्रविष्टियों या होस्टनाम प्रविष्टियों के रूप में जोड़ें - IP एड्रेस बदलने पर होस्टनाम प्रविष्टियाँ अधिक लचीली होती हैं। सफल ऑथेंटिकेशन पर Purple द्वारा रिटर्न किए जाने वाले मुख्य RADIUS एट्रिब्यूट्स में सेशन टाइमआउट शामिल है, जो यह नियंत्रित करता है कि कोई गेस्ट फिर से पूछे जाने से पहले कितने समय तक कनेक्टेड रहता है, और वैकल्पिक रूप से Mikrotik-Rate-Limit वेंडर-विशिष्ट एट्रिब्यूट का उपयोग करके एक बैंडविड्थ रेट लिमिट। यह आपको बिना राउटर कॉन्फ़िगरेशन को छुए सीधे Purple डैशबोर्ड से प्रति गेस्ट सेशन फेयर-यूज़ नीतियों को लागू करने की सुविधा देता है। भाग दो: 802.1X के साथ सुरक्षित स्टाफ WiFi। यह वह जगह है जहाँ आप शेयर्ड पासवर्ड से पूरी तरह से दूर हो जाते हैं। IEEE 802.1X पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए मानक है। एक MikroTik वायरलेस इंटरफ़ेस पर, आप WPA2-Enterprise या WPA3-Enterprise ऑथेंटिकेशन सक्षम करते हैं, जिसका अर्थ है कि एक्सेस पॉइंट एक ऑथेंटिकेटर बन जाता है - यह स्टाफ डिवाइस से EAP क्रेडेंशियल्स को RADIUS सर्वर पर पास करता है, जो उन्हें सत्यापित करता है और Access-Accept या Access-Reject रिटर्न करता है। Purple का स्टाफ WiFi प्रोडक्ट आइडेंटिटी प्रोवाइडर के रूप में Microsoft Entra ID, Okta, और Google Workspace के साथ एकीकृत होता है। जब किसी स्टाफ सदस्य का डिवाइस कनेक्ट होता है, तो वह PEAP-MSCHAPv2 के माध्यम से एक सर्टिफिकेट या यूजरनेम और पासवर्ड प्रस्तुत करता है। Purple का RADIUS सर्वर रीयल-टाइम में आपके आइडेंटिटी प्रोवाइडर के खिलाफ उस क्रेडेंशियल को सत्यापित करता है। MikroTik की तरफ, आप वायरलेस सुरक्षा प्रोफ़ाइल को authentication-types के साथ wpa2-eap पर सेट करके कॉन्फ़िगर करते हैं, और आप RADIUS क्लाइंट को service=wireless के साथ Purple के सर्वर पर इंगित करते हैं। CAPsMAN में - जो MikroTik का सेंट्रलाइज्ड एक्सेस पॉइंट मैनेजमेंट सिस्टम है - आप इसे सुरक्षा कॉन्फ़िगरेशन स्तर पर सेट करते हैं ताकि यह आपके सभी प्रबंधित एक्सेस पॉइंट्स पर समान रूप से लागू हो। ऑथेंटिकेटेड स्टाफ को एक विशिष्ट VLAN पर रखने के लिए RADIUS सर्वर Mikrotik-Wireless-VLANID एट्रिब्यूट रिटर्न कर सकता है। इस तरह आप नेटवर्क सेगमेंटेशन लागू करते हैं - फाइनेंस स्टाफ VLAN 10 पर जाता है, ऑपरेशन्स VLAN 20 पर जाता है, इत्यादि - सब कुछ एक ही SSID से, सब कुछ आइडेंटिटी द्वारा संचालित होता है। ऑटोमैटिक रिवोकेशन के लिए - जब कोई स्टाफ सदस्य नौकरी छोड़ता है - आपके आइडेंटिटी प्रोवाइडर के साथ Purple के इंटीग्रेशन का मतलब है कि जब आप Entra ID या Okta में अकाउंट को डिसेबल करते हैं, तो अगला री-ऑथेंटिकेशन प्रयास विफल हो जाता है और डिवाइस डिस्कनेक्ट हो जाता है। किसी मैन्युअल राउटर कॉन्फ़िगरेशन बदलाव की आवश्यकता नहीं है। भाग तीन: प्राइवेट प्री-शेयर्ड कीज़ के साथ मल्टी-टेनेंट WiFi। यह तीनों में से सबसे दिलचस्प आर्किटेक्चरल डिज़ाइन है। प्राइवेट PSK - जिसे कभी-कभी PPSK या iPSK भी कहा जाता है - आपको एक सिंगल SSID चलाने की सुविधा देता है जहाँ प्रत्येक टेनेंट, निवासी, या डिवाइस ग्रुप एक विशिष्ट पासफ्रेज के साथ कनेक्ट होता है, और प्रत्येक पासफ्रेज एक अलग VLAN से मैप होता है। MikroTik पर, यह वायरलेस इंटरफ़ेस पर MAC-आधारित RADIUS ऑथेंटिकेशन के माध्यम से काम करता है। जब कोई डिवाइस कनेक्ट होता है, तो एक्सेस पॉइंट डिवाइस के MAC एड्रेस को RADIUS सर्वर पर यूजरनेम के रूप में भेजता है। RADIUS सर्वर - या तो RouterOS 7 में MikroTik का अपना यूजर मैनेजर, या FreeRADIUS - उस MAC एड्रेस को खोजता है और दो वेंडर-विशिष्ट एट्रिब्यूट्स रिटर्न करता है: Mikrotik-Wireless-Psk, जो प्रति-डिवाइस पासफ्रेज है, और Mikrotik-Wireless-VLANID, जो डिवाइस को सही VLAN पर रखता है। वायरलेस सुरक्षा प्रोफ़ाइल में radius-mac-authentication को yes पर सेट होना आवश्यक है, और RADIUS क्लाइंट के लिए service=wireless होना आवश्यक है। व्यवहार में, 200 अपार्टमेंट वाले बिल्ड-टू-रेंट प्रॉपर्टी के लिए, आप प्रत्येक निवासी के डिवाइस MAC पते को Purple प्लेटफ़ॉर्म में उनके रहने आने पर पहले से पंजीकृत करेंगे। Purple प्रत्येक MAC को एक अद्वितीय PSK और उस अपार्टमेंट के नेटवर्क सेगमेंट के अनुरूप VLAN से मैप करता है। निवासी अपने अपार्टमेंट के पासफ़्रेज़ का उपयोग करके कनेक्ट होते हैं। उनके डिवाइस एक अलग VLAN पर आते हैं। उनके पड़ोसी के डिवाइस पूरी तरह से अलग VLAN पर होते हैं। कोई भी एक-दूसरे का ट्रैफ़िक नहीं देख सकता है। उन डिवाइसेस के लिए जो 802.1X का समर्थन नहीं करते हैं - जैसे स्मार्ट टीवी, गेम कंसोल, IoT डिवाइस - यह दृष्टिकोण व्यावहारिक विकल्प है। डिवाइस को केवल WPA2-PSK का समर्थन करने की आवश्यकता होती है, जो कि हर डिवाइस करता है। [कार्यान्वयन सिफारिशें और संभावित त्रुटियाँ - लगभग 2 मिनट] मुझे आपको वे चार बातें बताने दें जो इन डिप्लॉयमेंट में आमतौर पर गलत होती हैं। पहला: वॉल्ड गार्डन गैप्स। यदि Purple का स्प्लैश पेज लोड होने में विफल रहता है, तो अपने वॉल्ड गार्डन प्रविष्टियों की जाँच करें। सबसे आम कारण एक अनुपलब्ध CDN डोमेन या सोशल लॉगिन रीडायरेक्ट है जो श्वेतसूची में नहीं है। प्रमाणीकरण से पहले कौन से DNS प्रश्नों को अवरोधित किया जा रहा है, यह देखने के लिए MikroTik टॉर्च टूल या पैकेट स्निफ़र का उपयोग करें। दूसरा: RADIUS टाइमआउट बेमेल। MikroTik का डिफ़ॉल्ट RADIUS टाइमआउट 1,100 मिलीसेकंड है। यदि Purple का RADIUS सर्वर भौगोलिक रूप से दूर है या नेटवर्क पाथ में लेटेंसी है, तो आपको कभी-कभार प्रमाणीकरण विफलताएँ दिखाई देंगी। टाइमआउट को बढ़ाकर 3,000 मिलीसेकंड करें और बैकअप के लिए एक बैकअप RADIUS सर्वर कॉन्फ़िगर करें। तीसरा: ब्रिज पर VLAN फ़िल्टरिंग सक्षम नहीं होना। RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट केवल तभी काम करता है जब ब्रिज VLAN फ़िल्टरिंग सक्षम हो। यह RouterOS की आवश्यकता है। यदि आप देख रहे हैं कि RADIUS द्वारा कुछ भी वापस किए जाने के बावजूद सभी क्लाइंट डिफ़ॉल्ट VLAN पर आ रहे हैं, तो जाँचें कि आपके ब्रिज इंटरफ़ेस पर vlan-filtering=yes सेट है या नहीं। चौथा: CAPsMAN संस्करण बेमेल। यदि आप CAPsMAN संस्करण 2 और संस्करण 3 प्रबंधित एक्सेस पॉइंट्स का मिश्रण चला रहे हैं, तो VLAN टैगिंग व्यवहार भिन्न हो सकता है। डायनेमिक VLAN सुविधाओं को लागू करने से पहले अपने पूरे AP एस्टेट में CAPsMAN संस्करण 3 के साथ RouterOS 7 पर मानकीकरण करें। एक आर्किटेक्चरल सिफ़ारिश: पहले दिन से ही अपने गेस्ट, स्टाफ और मैनेजमेंट ट्रैफ़िक को अलग-अलग VLAN पर चलाएं, भले ही आप तुरंत तीनों Purple यूज़ केस का उपयोग नहीं कर रहे हों। एक फ़्लैट नेटवर्क पर बाद में VLAN सेगमेंटेशन को फिट करना शुरुआत से इसे बनाने की तुलना में काफी अधिक बाधा उत्पन्न करता है। [रैपिड-फायर प्रश्न और उत्तर - लगभग 1 मिनट] क्या मैं बाहरी RADIUS सर्वर के बजाय MikroTik के अंतर्निहित User Manager का उपयोग कर सकता हूँ? हाँ, छोटे डिप्लॉयमेंट के लिए। RouterOS 7 में User Manager वायरलेस 802.1X के लिए PEAP-MSCHAPv2 का समर्थन करता है और Mikrotik-Wireless-VLANID एट्रिब्यूट वापस कर सकता है। Purple के साथ प्रोडक्शन डिप्लॉयमेंट के लिए, आप Purple के होस्ट किए गए RADIUS इंफ्रास्ट्रक्चर का उपयोग करेंगे, जो आपके लिए आइडेंटिटी प्रोवाइडर इंटीग्रेशन और सेशन मैनेजमेंट को संभालता है। क्या Purple, MikroTik CAPsMAN का समर्थन करता है? हाँ। Purple हार्डवेयर-अज्ञेयवादी (hardware-agnostic) है। यह एकीकरण RADIUS और हॉटस्पॉट रीडायरेक्ट स्तर पर काम करता है, इसलिए यह स्टैंडअलोन MikroTik एक्सेस पॉइंट्स और CAPsMAN-प्रबंधित डिप्लॉयमेंट दोनों के साथ समान रूप से अनुकूल है। मुझे किस RouterOS वर्शन की आवश्यकता है? इस गाइड में शामिल सभी तीनों उपयोग के मामलों के लिए RouterOS 7.x की सिफारिश की जाती है। वायरलेस RADIUS के माध्यम से डायनेमिक VLAN असाइनमेंट और अपडेटेड यूजर मैनेजर RouterOS 7 के फीचर्स हैं। RouterOS 6.x हॉटस्पॉट और बुनियादी RADIUS ऑथेंटिकेशन का समर्थन करता है लेकिन इसमें कुछ वायरलेस VLAN क्षमताओं की कमी है। [सारांश और अगले कदम - लगभग 1 मिनट] संक्षेप में: MikroTik RouterOS आपको Purple के साथ तीन अलग-अलग एकीकरण बिंदु देता है। हॉटस्पॉट गेटवे गेस्ट WiFi रीडायरेक्शन और Captive Portal ऑथेंटिकेशन को संभालता है। RADIUS के साथ वायरलेस 802.1X कॉन्फ़िगरेशन पहचान-आधारित पहुंच के साथ सुरक्षित स्टाफ WiFi को संभालता है। और प्राइवेट PSK के साथ MAC-आधारित RADIUS ऑथेंटिकेशन आवासीय और मिश्रित-उपयोग वाली संपत्तियों के लिए मल्टी-टेनेंट नेटवर्क अलगाव को संभालता है। इन तीनों में सामान्य बात RADIUS है। अपने RADIUS क्लाइंट कॉन्फ़िगरेशन को सही करें - सही IP, सही साझा सीक्रेट, सही सर्विस प्रकार, सही टाइमआउट - और बाकी सब अपने आप हो जाता है। आपके अगले कदम: अपने Purple डैशबोर्ड में लॉग इन करें, वेन्यू कॉन्फ़िगरेशन पर जाएं, और अपने RADIUS क्रेडेंशियल प्राप्त करें। फिर अपने हॉटस्पॉट प्रोफाइल, अपने वायरलेस सुरक्षा प्रोफाइल और अपनी वॉल्ड गार्डन प्रविष्टियों को कॉन्फ़िगर करने के लिए लिखित गाइड में CLI कमांड का पालन करें। अपने पूरे एस्टेट में रोल आउट करने से पहले एक सिंगल एक्सेस पॉइंट के साथ परीक्षण करें। यदि आप इसे बड़े पैमाने पर तैनात कर रहे हैं - कई साइटें, सैकड़ों एक्सेस पॉइंट्स - तो Purple की प्रोफेशनल सर्विसेज टीम इस रोलआउट का समर्थन कर सकती है। Purple वैश्विक स्तर पर 80,000 लाइव वेन्यू पर चलता है, जिसमें 99.999% अपटाइम है, और यह ISO 27001, GDPR, और Cyber Essentials प्रमाणित है। सुनने के लिए धन्यवाद। सभी CLI कमांड, RADIUS एट्रिब्यूट टेबल और उदाहरणों के साथ पूरी लिखित गाइड शो नोट्स में लिंक की गई है।