OpenWrt और गेस्ट WiFi: Purple के साथ captive portal सेटअप

[0:00 - 1:00] परिचय और संदर्भ Purple टेक्निकल ब्रीफिंग में आपका स्वागत है। मैं आपका होस्ट हूँ, और अगले दस मिनट में, हम Purple WiFi के साथ OpenWrt कस्टम फर्मवेयर इंटीग्रेशन का विश्लेषण करने जा रहे हैं। यदि आप एक IT मैनेजर, नेटवर्क आर्किटेक्ट, या CTO हैं जो हॉस्पिटैलिटी, रिटेल, या सार्वजनिक क्षेत्र के वातावरण में कस्टम फर्मवेयर तैनात कर रहे हैं, तो यह ब्रीफिंग आपके लिए है। हम अकादमिक थ्योरी को छोड़ सीधे काम की बात करेंगे और आपको CoovaChilli को कॉन्फ़िगर करने, 802.1X के साथ स्टाफ नेटवर्क को सुरक्षित करने, और Private Pre-Shared Keys का उपयोग करके मल्टी-टेनेंट वातावरण को विभाजित करने की सटीक प्लेबुक प्रदान करेंगे। यह क्यों महत्वपूर्ण है? क्योंकि OpenWrt जैसे कस्टम फर्मवेयर को तैनात करना आपको अविश्वसनीय लचीलापन और हार्डवेयर स्वतंत्रता देता है। लेकिन एक व्यवस्थित, पहचान-संचालित एक्सेस कंट्रोल लेयर के बिना, वह लचीलापन एक सुरक्षा जोखिम बन जाता है। आपको फर्स्ट-पार्टी डेटा को सुरक्षित रूप से कैप्चर करने, GDPR अनुपालन लागू करने, और अपने ट्रैफ़िक को विश्वसनीय रूप से विभाजित करने की आवश्यकता है। आइए तकनीकी विश्लेषण की गहराई में चलें। [1:00 - 6:00] तकनीकी विश्लेषण OpenWrt इंटीग्रेशन का मूल आधार CoovaChilli पर निर्भर करता है। CoovaChilli एक ओपन-सोर्स एक्सेस कंट्रोलर है जो अनएथेंटिकेटेड क्लाइंट ट्रैफ़िक को रोकता है और इसे Purple कैप्टिव पोर्टल पर रीडायरेक्ट करता है। जब कोई गेस्ट आपके ओपन SSID से जुड़ता है, तो CoovaChilli गेटकीपर के रूप में कार्य करता है। यह tun0 इंटरफ़ेस पर चलने वाले अपने स्वयं के आंतरिक DHCP सर्वर के माध्यम से एक IP पता असाइन करता है, और वॉल्ड गार्डन (walled garden) में आपके द्वारा स्पष्ट रूप से अनुमत ट्रैफ़िक को छोड़कर बाकी सभी ट्रैफ़िक को ब्लॉक कर देता है। जब गेस्ट ब्राउज़ करने का प्रयास करता है, तो CoovaChilli HTTP अनुरोध को रोकता है और Purple स्प्लैश पेज पर रीडायरेक्शन जारी करता है। यहाँ वॉल्ड गार्डन कॉन्फ़िगरेशन महत्वपूर्ण है। अपनी chilli.conf फ़ाइल में, आपको HS_UAMDOMAINS पैरामीटर को परिभाषित करना होगा। यह उन डोमेन की अल्पविराम से अलग की गई (comma-separated) सूची है, जिन तक गेस्ट ऑथराइज़ होने से पहले पहुँच सकते हैं। आपको splash.purple.ai, api.purple.ai, और विभिन्न CDN डोमेन को शामिल करना होगा जिनका उपयोग हम पोर्टल एसेट्स को प्रदर्शित करने के लिए करते हैं। यदि आप कोई डोमेन भूल जाते हैं, तो पोर्टल लोड होने में विफल हो जाएगा, या सोशल लॉगिन बटन काम नहीं करेंगे। यह इतना आसान है। एक बार जब गेस्ट Purple पोर्टल पर ऑथराइज़ हो जाता है, तो Purple का क्लाउड RADIUS सर्वर UDP पोर्ट 1812 पर CoovaChilli को वापस एक Access-Accept संदेश भेजता है। इसके बाद CoovaChilli MAC पते को ऑथराइज़ करता है, उस सेशन के लिए फ़ायरवॉल नियम खोलता है, और UDP पोर्ट 1813 पर एकाउंटिंग डेटा भेजना शुरू करता है। एकाउंटिंग वैकल्पिक नहीं है। इसी तरह Purple आपके एनालिटिक्स डैशबोर्ड के लिए सेशन की अवधि और डेटा उपयोग को ट्रैक करता है। अब, आइए स्टाफ WiFi के बारे में बात करते हैं। आप स्टाफ के लिए CoovaChilli का उपयोग नहीं करते हैं। स्टाफ नेटवर्क के लिए, आप WPA2-Enterprise या WPA3-Enterprise के साथ hostapd का उपयोग करते हैं। यह मानक 802.1X ऑथेंटिकेशन है। एक्सेस पॉइंट ऑथेंटिकेटर के रूप में कार्य करता है, जो आपके RADIUS सर्वर को EAP संदेश फॉरवर्ड करता है। कॉर्पोरेट उपकरणों के लिए, आपको EAP-TLS तैनात करना चाहिए, जो पासवर्ड के बजाय डिजिटल सर्टिफिकेट का उपयोग करता है। यह क्रेडेंशियल चोरी की समस्या को पूरी तरह से समाप्त कर देता है। आप अपने RADIUS सर्वर को इंगित करने के लिए hostapd.conf कॉन्फ़िगर करते हैं, और RADIUS सर्वर उस विशिष्ट उपयोगकर्ता के लिए VLAN असाइनमेंट तय करता है।यह हमें आधुनिक OpenWrt डिप्लॉयमेंट के सबसे शक्तिशाली फीचर्स में से एक पर लाता है: Private Pre-Shared Keys, या PPSK। एक मल्टी-टेनेंट वातावरण में - मान लें कि एक बिल्ड-टू-रेंट प्रॉपर्टी या कोई कोवर्किंग स्पेस - आप पचास अलग-अलग SSIDs को ब्रॉडकास्ट नहीं करना चाहेंगे। यह आपकी एयरटाइम दक्षता को खराब करता है। इसके बजाय, आप एक SSID ब्रॉडकास्ट करते हैं। जब कोई डिवाइस कनेक्ट होता है, तो hostapd MAC एड्रेस को RADIUS सर्वर पर भेजता है। RADIUS सर्वर Tunnel-Password एट्रिब्यूट का उपयोग करके उस डिवाइस के लिए एक विशिष्ट पासफ़्रेज़ और एक विशिष्ट VLAN ID के साथ प्रतिक्रिया देता है। इसका मतलब है कि शॉप A का रिटेल स्टाफ सदस्य VLAN 10 पर पहुंच जाता है, जबकि मुख्य हॉल में मौजूद इवेंट अटेंडी VLAN 30 पर पहुंच जाता है, और सभी बिल्कुल एक ही SSID से कनेक्ट होते हैं। यह सुरुचिपूर्ण है, यह आसानी से स्केल होता है, और यह एज पर न्यूनतम-अधिकार एक्सेस लागू करता है। [6:00 - 8:00] कार्यान्वयन की सिफारिशें और संभावित गलतियाँ आइए कार्यान्वयन पर चर्चा करें। Purple के साथ OpenWrt को डिप्लॉय करते समय, आपका पहला कदम हमेशा Purple पोर्टल से अपने RADIUS क्रेडेंशियल्स को प्राप्त करना होता है। आपको प्राइमरी और सेकेंडरी RADIUS IP एड्रेस, शेयर्ड सीक्रेट और पोर्टल URL की आवश्यकता होगी। अपने OpenWrt कॉन्फ़िगरेशन में, आप अपने गेस्ट नेटवर्क इंटरफ़ेस - आमतौर पर eth1 या wlan0 - को परिभाषित करेंगे और CoovaChilli को इससे बाइंड करेंगे। यह सुनिश्चित करें कि आपके chilli.conf में HS_RADSECRET बिल्कुल वही हो जो Purple पोर्टल में है। एक भी कैरेक्टर का अंतर होने पर साइलेंट ऑथेंटिकेशन फेल्योर हो जाएगा। सबसे बड़ी गलती जो हम देखते हैं, वह है प्री-ऑथेंटिकेशन DNS रेजोल्यूशन। CoovaChilli DNS अनुरोधों को इंटरसेप्ट करता है। यदि आपका अपस्ट्रीम फ़ायरवॉल OpenWrt राउटर को बाहरी DNS रिज़ॉल्यूशन करने से ब्लॉक करता है, तो Captive Portal रीडायरेक्ट विफल हो जाएगा। सुनिश्चित करें कि आपके OpenWrt राउटर के पास Google या OpenDNS जैसे सार्वजनिक रिज़ॉल्यूशनर्स के लिए बिना किसी बाधा के DNS एक्सेस हो। एक और आम समस्या iOS और Android में निर्मित Captive Portal डिटेक्शन मैकेनिज्म है। Apple डिवाइस इंटरनेट कनेक्टिविटी की जांच करने के लिए captive.apple.com तक पहुंचते हैं। यदि आप अपने वॉल्ड गार्डन में captive.apple.com को व्हाइटलिस्ट करते हैं, तो डिवाइस सोचता है कि उसके पास इंटरनेट एक्सेस है और वह कैप्टिव नेटवर्क असिस्टेंट को पॉप-अप नहीं करेगा। यदि आप ऑटोमैटिक पॉप-अप चाहते हैं, तो Apple के डोमेन को वॉल्ड गार्डन से बाहर रखें। [8:00 - 9:00] रैपिड-फायर Q&A आइए एक रैपिड-फायर Q और A करते हैं। प्रश्न एक: क्या मैं एक ही OpenWrt एक्सेस पॉइंट पर CoovaChilli और hostapd 802.1X चला सकता हूँ? हाँ। आप CoovaChilli को अपने गेस्ट SSID इंटरफ़ेस से बाइंड करते हैं, और अपने स्टाफ SSID इंटरफ़ेस पर 802.1X के साथ hostapd को कॉन्फ़िगर करते हैं। वे स्वतंत्र रूप से काम करते हैं। प्रश्न दो: क्या Purple, OpenWrt के साथ डायनामिक VLAN असाइनमेंट का समर्थन करता है? हाँ। Purple के RADIUS सर्वर स्टैंडर्ड RADIUS एट्रिब्यूट्स वापस कर सकते हैं, जिनमें Tunnel-Type, Tunnel-Medium-Type और Tunnel-Private-Group-ID शामिल हैं, जो OpenWrt को ऑथेंटिकेटेड यूजर को एक विशिष्ट VLAN पर भेजने का निर्देश देते हैं।प्रश्न तीन: क्या होता है यदि OpenWrt राउटर का Purple RADIUS सर्वर से कनेक्शन टूट जाता है? CoovaChilli नए सेशन को प्रमाणित करने में विफल रहेगा। मौजूदा अधिकृत सेशन तब तक सक्रिय रहेंगे जब तक कि उनका सेशन टाइमआउट समाप्त नहीं हो जाता। उच्च उपलब्धता सुनिश्चित करने के लिए हमेशा सेकेंडरी Purple RADIUS सर्वर को कॉन्फ़िगर करें। [9:00 - 10:00] सारांश और अगले कदम संक्षेप में कहें तो: OpenWrt एंटरप्राइज़ WiFi के लिए एक मजबूत, हार्डवेयर-स्वतंत्र प्लेटफॉर्म प्रदान करता है। अतिथि पहुंच के लिए CoovaChilli और सुरक्षित स्टाफ व मल्टी-टीनेंट PPSK के लिए hostapd को एकीकृत करके, आप एक पहचान-आधारित नेटवर्क (Identity-Based Network) बनाते हैं। Purple RADIUS इन्फ्रास्ट्रक्चर की जटिलता को दूर करता है, एक क्लाउड-प्रबंधित पोर्टल प्रदान करता है जो फर्स्ट-पार्टी डेटा कैप्चर करता है और अनुपालन सुनिश्चित करता है। आपका अगला कदम आपके वर्तमान कस्टम फर्मवेयर डिप्लॉयमेंट का ऑडिट करना है। सुनिश्चित करें कि आपके walled gardens पूरी तरह से कॉन्फ़िगर हैं, अपने RADIUS अकाउंटिंग इंटरवल को सत्यापित करें, और साझा PSKs से डायनेमिक PPSK सेगमेंटेशन में माइग्रेशन की योजना बनाना शुरू करें। Purple टेक्निकल ब्रीफिंग सुनने के लिए धन्यवाद। इस बारे में अधिक जानने के लिए कि Purple आपके अतिथि WiFi को कैसे सुरक्षित और मुद्रीकृत कर सकता है, purple.ai पर जाएं। अगली बार तक के लिए अलविदा।