पॉडकास्ट ट्रान्सक्रिप्ट पहा
Ubiquiti UniFi साठी कॅप्टिव्ह पोर्टल — एक Purple तांत्रिक माहिती
[परिचय आणि संदर्भ — अंदाजे 1 मिनिट]
Purple तांत्रिक माहिती मालिकेत आपले स्वागत आहे. मी तुमचा होस्ट आहे, आणि आज आपण Ubiquiti UniFi इन्फ्रास्ट्रक्चरवर बाह्य कॅप्टिव्ह पोर्टल तैनात करण्याच्या तपशीलांमध्ये जात आहोत — जे जागतिक स्तरावर आदरातिथ्य, किरकोळ विक्री आणि एंटरप्राइझ वातावरणात सर्वाधिक प्रमाणात तैनात केलेल्या नेटवर्क प्लॅटफॉर्मपैकी एक आहे.
तुम्ही IT व्यवस्थापक, नेटवर्क आर्किटेक्ट किंवा UniFi Cloud Gateways, Dream Machines किंवा UniFi Network Application सोबत काम करणारे सिस्टम इंटिग्रेटर असाल, तर हा एपिसोड तुमच्यासाठी आहे. बाह्य पोर्टल यंत्रणा हुडच्या खाली नेमकी कशी कार्य करते, ती योग्यरित्या कशी कॉन्फिगर करावी, सामान्य त्रुटी कुठे आहेत आणि मूलभूत स्प्लॅश पृष्ठापेक्षा अधिक आवश्यकता असलेल्या ठिकाणांसाठी UniFi तैनातीवर Purple ओव्हरले करणे हा योग्य आर्किटेक्चरल निर्णय का आहे, हे आपण पाहणार आहोत.
चला सुरुवात करूया.
[तांत्रिक सखोल विश्लेषण — अंदाजे 5 मिनिटे]
प्रथम, जेव्हा एखादा अतिथी कॅप्टिव्ह पोर्टल सक्षम असलेल्या UniFi SSID शी कनेक्ट होतो तेव्हा प्रत्यक्षात काय घडते ते समजून घेऊया.
जेव्हा एखादे अतिथी डिव्हाइस तुमच्या अतिथी SSID शी जोडले जाते, तेव्हा UniFi ॲक्सेस पॉइंट त्याला नेहमीप्रमाणे DHCP द्वारे IP पत्ता नियुक्त करतो. परंतु डिव्हाइसला त्वरित UniFi ज्याला "प्रलंबित" (pending) स्थिती म्हणते त्यामध्ये ठेवले जाते. या स्थितीत, AP ची अंगभूत DNSmasq प्रक्रिया डिव्हाइस करत असलेल्या प्रत्येक DNS क्वेरीला अडवते, डिव्हाइस कोणता DNS सर्व्हर वापरत आहे याने काही फरक पडत नाही. AP सर्व DNS ट्रॅफिक स्वतःकडे रिडायरेक्ट करतो.
त्याच वेळी, AP पोर्ट 80 वर एक हलका HTTP रिडायरेक्टर चालवतो. ज्या क्षणी अतिथीचा ब्राउझर कोणतीही HTTP विनंती करतो — आणि हा मुख्य शब्द आहे, HTTP, HTTPS नाही — रिडायरेक्टर 302 रिडायरेक्ट परत पाठवतो, ब्राउझरला कॅप्टिव्ह पोर्टल स्प्लॅश पृष्ठावर पाठवतो. ही ती यंत्रणा आहे जी iOS आणि Android डिव्हाइसेसवर "WiFi मध्ये साइन इन करा" सूचना ट्रिगर करते.
आता, येथेच अंगभूत पोर्टल विरुद्ध बाह्य पोर्टल यातील फरक महत्त्वपूर्ण ठरतो. अंगभूत UniFi Hotspot Portal सह, स्प्लॅश पृष्ठ थेट UniFi Network Application द्वारे दिले जाते. हे कार्यक्षम आहे, सेट अप करण्यास जलद आहे, परंतु ते अत्यंत मर्यादित आहे. तुम्हाला मूलभूत पासवर्ड ऑथेंटिकेशन, व्हाउचर आणि Stripe पेमेंट मिळतात. ईमेल कॅप्चर नाही, सोशल लॉगिन नाही, GDPR संमती व्यवस्थापन नाही, CRM एकत्रीकरण नाही आणि सत्र संख्येच्या पलीकडे कोणतेही अर्थपूर्ण विश्लेषण नाही.
जेव्हा तुम्ही External Portal Server कॉन्फिगर करता — ज्या सेटिंगवर आपण आज लक्ष केंद्रित करत आहोत — apocalypse, तेव्हा तुम्ही UniFi कंट्रोलरला अतिथींना पूर्णपणे वेगळ्या वेब ॲप्लिकेशनवर रिडायरेक्ट करण्यास सांगत आहात. आमच्या बाबतीत, ते Purple आहे. तुम्ही External Portal Server फील्डमध्ये प्रविष्ट केलेली URL त्या सर्व 302 रिडायरेक्टचे गंतव्यस्थान बनते.
त्या रिडायरेक्ट URL बद्दलचा महत्त्वाचा तांत्रिक तपशील येथे आहे. जेव्हा UniFi अतिथीला तुमच्या बाह्य पोर्टलवर रिडायरेक्ट करते, तेव्हा ते URL मध्ये अनेक क्वेरी पॅरामीटर्स जोडते. यामध्ये समाविष्ट आहे: AP MAC पत्ता, क्लायंट डिव्हाइस MAC पत्ता, Unix टाइमस्टॅम्प, क्लायंट पोहोचण्याचा प्रयत्न करत असलेली मूळ URL आणि SSID नाव. तुमचे बाह्य पोर्टल — या संदर्भात Purple — ते पॅरामीटर्स कॅप्चर करते, कनेक्टिंग डिव्हाइस ओळखण्यासाठी त्यांचा वापर करते, योग्य स्प्लॅश पृष्ठ सादर करते, ऑथेंटिकेशन हाताळते आणि नंतर त्या MAC पत्त्याला ऑथोराइज करण्यासाठी UniFi Network Application ला परत API कॉल करते.
तो API कॉल हा महत्त्वाचा हँडशेक आहे. UniFi Network Application 9.1 आणि नंतरच्या आवृत्तीनुसार, योग्य की-आधारित ऑथेंटिकेशनसह अधिकृत REST API आहे. ऑथोरायझेशन एंडपॉइंट हा साइट्स API च्या व्हर्जन 1 वर एक POST विनंती आहे, ज्यामध्ये विशिष्ट क्लायंट आयडी लक्ष्यित केला जातो, ज्यामध्ये JSON बॉडी असते जी मिनिटांत वेळ मर्यादा, मेगाबाइटमध्ये डेटा वापर मर्यादा आणि प्रति सेकंद किलोबिटमध्ये दर मर्यादा निर्दिष्ट करू शकते. एकदा कंट्रोलरला ते ऑथोरायझेशन मिळाले की, तो सूचना AP कडे पाठवतो आणि अतिथी प्रलंबित वरून ऑथोराइज्ड कडे जातो. इंटरनेट प्रवेश मंजूर केला जातो.
आता आपण Walled Garden बद्दल बोलूया, ज्याला UniFi प्री-ऑथोरायझेशन ॲक्सेस (Pre-Authorization Access) म्हणते. ही अशा डोमेन आणि IP पत्त्यांची व्हाईटलिस्ट आहे जिथे अतिथी ऑथेंटिकेट होण्यापूर्वी पोहोचू शकतात. हे आवश्यक आहे आणि हे चुकीच्या कॉन्फिगरेशनच्या सर्वात सामान्य स्रोतांपैकी एक आहे.
किमान, तुमच्या walled garden मध्ये तुमच्या Purple पोर्टलचे पूर्णपणे पात्र डोमेन नाव (FQDN) आणि Purple चे इन्फ्रास्ट्रक्चर ज्या IP पत्त्यांवर किंवा CIDR श्रेणींवर रिझॉल्व्ह होते ते समाविष्ट असणे आवश्यक आहे. तुम्ही सोशल लॉगिन — Facebook, Google, Microsoft — वापरत असल्यास, तुम्हाला त्या प्रदात्यांसाठी OAuth एंडपॉइंट डोमेन देखील जोडणे आवश्यक आहे. Google चे लॉगिन एंडपॉइंट्स एकाधिक IP श्रेणी आणि accounts.google.com आणि oauth2.googleapis.com सह अनेक डोमेनवर पसरलेले आहेत. Facebook च्या लॉगिन इन्फ्रास्ट्रक्चरला देखील अशाच प्रकारे अनेक नोंदींची आवश्यकता असते. Purple चे दस्तऐवज आवश्यक असलेल्या अचूक नोंदींची अद्ययावत सूची प्रदान करतात आणि हे प्रदाते त्यांचे इन्फ्रास्ट्रक्चर अद्ययावत करत असल्याने ही सूची चालू ठेवली जाते.
UniFi साठी विशिष्ट अशी एक गंभीर त्रुटी आहे जी बऱ्याच तैनातींमध्ये अडथळा आणते. AP वरील HTTP रिडायरेक्टर केवळ पोर्ट 80 वरील साध्या HTTP ट्रॅफिकला अडवतो. आधुनिक डिव्हाइसेस — iOS, Android, Windows, macOS — सर्व HTTPS-आधारित कॅप्टिव्ह पोर्टल शोधतात. Apple डिव्हाइसेस HTTPS वर captive.apple.com वर जातात. Android डिव्हाइसेस connectivitycheck.gstatic.com वर जातात. जर त्या HTTPS विनंत्यांना विशिष्ट प्रतिसाद मिळाला नाही, तर डिव्हाइस ठरवू शकते की कोणतेही कॅप्टिव्ह पोर्टल नाही आणि फक्त साइन-इन प्रॉम्प्ट दाखवण्यात अयशस्वी होऊ शकते.
यावर उपाय म्हणजे तुमच्या walled garden मध्ये प्रमुख ऑपरेटिंग सिस्टमसाठी कॅप्टिव्ह पोर्टल शोध डोमेन समाविष्ट आहेत आणि तुमचे Purple पोर्टल वैध, विश्वसनीय SSL प्रमाणपत्रासह HTTPS वर प्रवेशयोग्य आहे याची खात्री करणे. स्व-स्वाक्षरी केलेली (Self-signed) प्रमाणपत्रे ब्राउझर सुरक्षा चेतावणी देतील ज्यामुळे पोर्टल लोड होण्यापासून रोखले जाईल. उत्पादन तैनातीसाठी (production deployments) हे बंधनकारक आहे.
इतर UniFi-विशिष्ट विचार म्हणजे कंट्रोलरची पोहोचक्षमता. UniFi Network Application — मग ते Cloud Gateway, Cloud Key किंवा स्वतः होस्ट केलेल्या सर्व्हरवर चालत असो — API ऑथोरायझेशन कॉल्स यशस्वी होण्यासाठी Purple च्या इन्फ्रास्ट्रक्चरवरून पोहोचण्यायोग्य असणे आवश्यक आहे. तुमचा कंट्रोलर NAT च्या मागे खाजगी नेटवर्कवर असल्यास, तुम्हाला संबंधित API पोर्ट प्रवेशयोग्य असल्याची खात्री करावी लागेल. स्वतः होस्ट केलेल्या कंट्रोलर्ससाठी, ते सामान्यतः जुन्या API साठी पोर्ट 8443 असते, किंवा आवृत्ती 9.1 मध्ये सादर केलेल्या नवीन API साठी मानक HTTPS पोर्ट 443 असते. Purple चे सपोर्ट दस्तऐवज तुमच्या कंट्रोलरला इनबाउंड प्रवेश आवश्यक असलेल्या अचूक IP श्रेणी निर्दिष्ट करतात.
RADIUS-आधारित ऑथेंटिकेशनसाठी — जे तुम्ही खुल्या अतिथी SSID मॉडेलऐवजी WPA2-Enterprise किंवा WPA3-Enterprise SSIDs सोबत Purple तैनात करत असताना संबंधित असते — UniFi चे अंगभूत RADIUS सर्व्हर मानक 802.1X EAP पद्धतींना समर्थन देते. तुम्ही Settings, Networks, RADIUS Servers अंतर्गत RADIUS प्रोफाइल कॉन्फिगर करता आणि नंतर तुमच्या SSID कॉन्फिगरेशनमध्ये त्या प्रोफाइलचा संदर्भ देता. UniFi आवृत्ती 8.4 पासून पुढे TLS वरील RADIUS ला देखील समर्थन देते, ज्याला RADSEC म्हणून ओळखले जाते, जे AP आणि ऑथेंटिकेशन सर्व्हरमधील RADIUS ट्रॅफिक एनक्रिप्ट करते. मल्टी-साइट तैनातीसाठी जेथे RADIUS ट्रॅफिक सार्वजनिक इंटरनेटवरून जाते, RADSEC ची जोरदार शिफारस केली जाते.
[अमलबजावणी शिफारसी आणि त्रुटी — अंदाजे 2 मिनिटे]
मी तुम्हाला व्यावहारिक अमलबजावणी चेकलिस्ट देतो जी मी UniFi वर Purple तैनात करणाऱ्या कोणत्याही क्लायंटसोबत वापरेन.
पहिले, नेटवर्क सेगमेंटेशन. तुमचा अतिथी SSID एका समर्पित VLAN वर असणे आवश्यक आहे, जे तुमच्या कॉर्पोरेट आणि IoT नेटवर्कपासून वेगळे असेल. UniFi हे सोपे करते — Settings, Networks मध्ये एक समर्पित नेटवर्क तयार करा, त्याला VLAN ID नियुक्त करा आणि तुमचा अतिथी SSID त्या नेटवर्कशी जोडा. अतिथी-ते-अतिथी ट्रॅफिक रोखण्यासाठी अतिथी नेटवर्कवर क्लायंट आयसोलेशन सक्षम करा.
दुसरे, कंट्रोलरकडे वैध FQDN आणि विश्वसनीय SSL प्रमाणपत्र असणे आवश्यक आहे. IP पत्त्यावर अवलंबून राहू नका. योग्य डोमेन नाव वापरा, त्यावर Let's Encrypt किंवा व्यावसायिक प्रमाणपत्र मिळवा आणि ते प्रमाणपत्र वापरण्यासाठी UniFi कॉन्फिगर करा. हे बहुतांश HTTPS रिडायरेक्ट समस्यांचे निराकरण करते.
तिसरे, तुमचे walled garden काळजीपूर्वक तयार करा आणि त्याची चाचणी घ्या. किमान नोंदी आहेत: तुमचे Purple पोर्टल डोमेन आणि त्याच्या IP श्रेणी, iOS, Android आणि Windows साठी कॅप्टिव्ह पोर्टल शोध डोमेन आणि तुम्ही वापरत असलेले कोणतेही OAuth प्रदाता डोमेन. यापूर्वी कधीही नेटवर्कशी कनेक्ट न केलेल्या डिव्हाइससह चाचणी घ्या — कॅश केलेले DNS आणि नेटवर्क स्थिती चाचणी दरम्यान walled garden मधील त्रुटी लपवू शकतात.
चौथे, API एकत्रीकरणासाठी, किमान आवश्यक परवानग्यांसह UniFi Network Application मध्ये समर्पित स्थानिक ॲडमिन खाते वापरा. तुमची प्राथमिक ॲडमिन क्रेडेन्शियल्स वापरू नका. तुम्ही Network Application 9.1 किंवा नंतरच्या आवृत्तीवर असल्यास, Control Plane, Integrations अंतर्गत नवीन API की यंत्रणा वापरा — हे अधिक सुरक्षित आहे आणि यासाठी क्रेडेन्शियल-आधारित ऑथेंटिकेशनची आवश्यकता नसते.
पाचवे, सत्र कालावधीचा काळजीपूर्वक विचार करा. UniFi ची डीफॉल्ट अतिथी सत्र समाप्ती आठ तासांइतकी कमी असू शकते. आदरातिथ्य तैनातीसाठी जेथे अतिथी अनेक रात्री मुक्काम करू शकतात, Purple पोर्टल सेटिंग्जमध्ये योग्य सत्र कालावधी कॉन्फिगर करा आणि ते कालावधी API ऑथोरायझेशन कॉलमध्ये योग्यरित्या पास केले गेल्याची खात्री करा.
मी पाहत असलेली सर्वात सामान्य त्रुटी म्हणजे स्वतः होस्ट केलेल्या कंट्रोलरवर तैनात करणे जे सार्वजनिकरित्या प्रवेशयोग्य नाही. जर Purple अतिथींना ऑथोराइज करण्यासाठी तुमच्या कंट्रोलरपर्यंत पोहोचू शकले नाही, तर पोर्टल लोड होईल परंतु ऑथेंटिकेशन शांतपणे अयशस्वी होईल. थेट जाण्यापूर्वी नेहमी Purple च्या इन्फ्रास्ट्रक्चरवरून API कनेक्टिव्हिटी सत्यापित करा.
[रॅपिड-फायर प्रश्नोत्तरे — अंदाजे 1 मिनिट]
हे UniFi Dream Machine Pro वर कार्य करते का? होय. सर्व UniFi OS कन्सोल — UDM, UDM Pro, UDM SE, UCG Ultra, UCG-Max — External Portal Server कॉन्फिगरेशनला समर्थन देतात. Network Application डिव्हाइसवर चालते.
मी एकाच Purple खात्यावरून एकाधिक UniFi साइट्सवर Purple वापरू शकतो का? होय. Purple चे मल्टी-साइट आर्किटेक्चर नेमके याचसाठी डिझाइन केले आहे. प्रत्येक ठिकाण Purple मध्ये स्वतंत्र साइट म्हणून कॉन्फिगर केले आहे, जे संबंधित UniFi साइटवर मॅप केले आहे.
मला UniFi गेटवेवर फायरवॉल पोर्ट उघडण्याची आवश्यकता आहे का? तुम्हाला हे सुनिश्चित करणे आवश्यक आहे की अतिथी VLAN ट्रॅफिक पोर्ट 443 वर Purple पोर्टल डोमेनपर्यंत पोहोचू शकेल. कंट्रोलर API पोर्ट देखील Purple च्या सर्व्हरवरून पोहोचण्यायोग्य असणे आवश्यक आहे. Purple चे दस्तऐवज विशिष्ट IP श्रेणी प्रदान करतात.
WPA3 बद्दल काय? UniFi WPA3 Personal आणि WPA3 Enterprise ला समर्थन देते. कॅप्टिव्ह पोर्टल यंत्रणा अतिथी नेटवर्कवर WPA3 Personal सह कार्य करते. WPA3 Enterprise 802.1X आणि RADIUS वापरते, जो एक वेगळा ऑथेंटिकेशन फ्लो आहे.
[सारांश आणि पुढील पायऱ्या — अंदाजे 1 मिनिट]
सारांश सांगायचा तर: UniFi वर बाह्य कॅप्टिव्ह पोर्टल म्हणून Purple तैनात करणे हे एक चांगले समर्थित, आर्किटेक्चरली मजबूत एकत्रीकरण आहे. मुख्य पायऱ्या आहेत: तुमच्या Purple पोर्टल URL कडे निर्देशित करणाऱ्या External Portal Server पर्यायासह तुमचा अतिथी SSID कॉन्फिगर करा, एक व्यापक walled garden तयार करा ज्यामध्ये Purple चे इन्फ्रास्ट्रक्चर आणि तुम्ही वापरत असलेले कोणतेही OAuth प्रदाते समाविष्ट असतील, तुमच्या UniFi कंट्रोलरकडे वैध SSL प्रमाणपत्र असल्याची आणि ते Purple च्या API सर्व्हरवरून प्रवेशयोग्य असल्याची खात्री करा, आणि तुमच्या ठिकाणाच्या प्रकारासाठी योग्य सत्र कालावधी कॉन्फिगर करा.
बिझनेस केस सोपी आहे. अंगभूत UniFi पोर्टल तुम्हाला स्प्लॅश पृष्ठ देते. Purple तुम्हाला अनुपालन-सज्ज, विश्लेषणावर आधारित अतिथी अनुभव प्लॅटफॉर्म देते जे तुमच्या CRM सह एकत्रित होते, GDPR संमती अंतर्गत फर्स्ट-पार्टी डेटा कॅप्चर करते आणि ठिकाण ऑपरेटर आणि मार्केटिंग टीमना प्रत्यक्षात आवश्यक असलेले फूटफॉल आणि ड्वेल-टाइम विश्लेषण प्रदान करते.
तुम्ही मोठ्या प्रमाणावर UniFi तैनात करणारे MSP किंवा सिस्टम इंटिग्रेटर असल्यास, Purple चे मल्टी-साइट व्यवस्थापन आणि व्हाईट-लेबल क्षमता तुमच्या क्लायंटसाठी योग्य ओव्हरले बनवतात.
तपशीलवार कॉन्फिगरेशन दस्तऐवज, walled garden IP सूची आणि API एकत्रीकरण मार्गदर्शकांसाठी, purple.ai ला भेट द्या. ऐकल्याबद्दल धन्यवाद.