मुख्य मजकुराकडे जा
मराठी

MikroTik RouterOS Captive Portal आणि Purple WiFi इंटिग्रेशन मार्गदर्शिका

हे तांत्रिक मार्गदर्शक MikroTik RouterOS ला Purple च्या WiFi प्लॅटफॉर्मसह समाकलित करण्यासाठी टप्प्याटप्प्याने सूचना प्रदान करते. यामध्ये Guest WiFi captive portal कॉन्फिगरेशन, Staff WiFi 802.1X ऑथेंटिकेशन आणि डायनॅमिक VLAN सेगमेंटेशनसाठी Private PSKs वापरून Multi-Tenant WiFi समाविष्ट आहे.

📖 4 मिनिट वाचन📝 872 शब्द🔧 2 सोडवलेली उदाहरणे3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

हे मार्गदर्शक ऐका

पॉडकास्ट ट्रान्सक्रिप्ट पहा
MikroTik RouterOS Captive Portal आणि Purple WiFi इंटिग्रेशन मार्गदर्शिका - पॉडकास्ट स्क्रिप्ट [INTRO - अंदाजे १ मिनिट] स्वागत आहे. जर तुम्ही हॉटेल, रिटेल चेन, स्टेडियम किंवा कॉन्फरन्स सेंटरमध्ये WiFi इन्फ्रास्ट्रक्चर व्यवस्थापित करत असाल आणि तुम्ही MikroTik RouterOS चालवत असाल, तर हा एपिसोड तुमच्यासाठी आहे. मी तुम्हाला MikroTik च्या Hotspot Gateway ला Purple च्या अतिथी WiFi प्लॅटफॉर्मसह कसे समाकलित करायचे याबद्दल मार्गदर्शन करणार आहे - यामध्ये तीन वेगवेगळ्या वापराच्या प्रकरणांचा समावेश आहे: captive portal आणि walled garden सह अतिथी WiFi, 802.1X वापरून सुरक्षित स्टाफ WiFi, आणि MikroTik च्या Private Pre-Shared Key वैशिष्ट्याचा वापर करून मल्टि-टेनंट नेटवर्क वेगळे करणे. हे केवळ सैद्धांतिक विहंगावलोकन नाही. याच्या शेवटी, तुमच्याकडे विशिष्ट CLI कमांड्स, RADIUS ॲट्रिब्युट्स आणि कॉन्फिगरेशन लॉजिक असेल जे तुम्हाला या सेटअप्स स्वतः तैनात करण्यासाठी किंवा ऑडिट करण्यासाठी आवश्यक आहे. चला तर मग, सुरुवात करूया. [TECHNICAL DEEP-DIVE - अंदाजे ५ मिनिटे] भाग एक: Guest WiFi आणि MikroTik captive portal. MikroTik चे Hotspot Gateway हे RouterOS वरील अतिथी WiFi रिडायरेक्शनमागील इंजिन आहे. जेव्हा एखादा अभ्यागत तुमच्या अतिथी SSID शी कनेक्ट होतो, तेव्हा Hotspot Gateway त्यांचे HTTP ट्रॅफिक अडवतो आणि त्यांना स्प्लॅश पेजवर रिडायरेक्ट करतो - ते तुमचे captive portal आहे. Purple त्या स्प्लॅश पेजचे होस्टिंग करते. तुमचे MikroTik राउटर Hotspot Gateway आणि RADIUS क्लायंट म्हणून काम करते. Purple चे प्लॅटफॉर्म RADIUS सर्व्हर म्हणून काम करते. तुम्ही हे कसे सेट अप करता ते येथे आहे. प्रथम, Winbox मधील IP मेनूमधून किंवा CLI द्वारे Hotspot Setup विझार्ड चालवा. तुम्ही ते तुमच्या अतिथी-फेसिंग इंटरफेसवर नियुक्त कराल - सामान्यतः VLAN इंटरफेस किंवा ब्रिज पोर्ट. तुमचा स्थानिक ॲड्रेस पूल सेट करा, तुमचे DNS सर्व्हर कॉन्फिगर करा आणि हॉटस्पॉटला एक DNS नाव द्या. ते DNS नाव अतिथींना ऑथेंटिकेट होण्यापूर्वी त्यांच्या ब्राउझरमध्ये दिसते. विझार्ड पूर्ण झाल्यावर, तुम्हाला हॉटस्पॉट प्रोफाइल Purple च्या RADIUS सर्व्हरकडे निर्देशित करावे लागेल. CLI मध्ये, ते असे दिसते: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 त्यानंतर हॉटस्पॉट प्रोफाइलवर RADIUS सक्षम करा: /ip hotspot profile set default use-radius=yes जेव्हा तुम्ही Purple डॅशबोर्डमध्ये तुमचे ठिकाण सेट अप कराल तेव्हा Purple तुम्हाला RADIUS IP ॲड्रेस, शेअर केलेला सिक्रेट आणि स्प्लॅश पेज URL प्रदान करेल. आता, walled garden. हे अत्यंत महत्त्वाचे आहे. अतिथी ऑथेंटिकेट होण्यापूर्वी, त्यांच्या डिव्हाइसला Purple च्या स्प्लॅश पेजवर आणि तुम्ही वापरत असलेल्या कोणत्याही OAuth प्रदात्यांपर्यंत - Google, Facebook इत्यादी - पोहोचता आले पाहिजे. walled garden नोंदींशिवाय, रिडायरेक्ट लूप तुटतो आणि अतिथी लॉग इन करू शकत नाहीत. RouterOS मध्ये, तुम्ही IP, Hotspot, Walled Garden अंतर्गत walled garden नोंदी जोडता. तुम्हाला Purple चे स्प्लॅश पेज डोमेन, कोणतेही सोशल लॉगिन डोमेन आणि लॉगिन पेजची मालमत्ता पुरवणारे कोणतेही CDN होस्ट जोडणे आवश्यक आहे. Purple चे दस्तऐवज तुमच्या प्रदेशासाठी अचूक डोमेन सूचीबद्ध करतात. त्यांना IP नोंदी किंवा होस्टनेम नोंदी म्हणून जोडा - IP ॲड्रेस बदलतात तेव्हा होस्टनेम नोंदी अधिक लवचिक असतात. यशस्वी ऑथेंटिकेशनवर Purple परत पाठवत असलेले मुख्य RADIUS ॲट्रिब्युट्स म्हणजे सेशन टाइमआउट, जे अतिथी पुन्हा विचारण्यापूर्वी किती वेळ कनेक्ट राहतो हे वैशिष्ट्य नियंत्रित करते, आणि पर्यायीपणे Mikrotik-Rate-Limit व्हेंडर-विशिष्ट ॲट्रिब्युट वापरून बँडविड्थ रेट मर्यादा. हे तुम्हाला राउटर कॉन्फिगरेशनला स्पर्श न करता थेट Purple डॅशबोर्डवरून प्रति अतिथी सेशनसाठी वाजवी-वापर धोरणे लागू करण्यास अनुमती देते. भाग दोन: 802.1X सह सुरक्षित Staff WiFi. येथे तुम्ही शेअर केलेले पासवर्ड वापरणे पूर्णपणे बंद करता. IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलचे मानक आहे. MikroTik वायरलेस इंटरफेसवर, तुम्ही WPA2-Enterprise किंवा WPA3-Enterprise ऑथेंटिकेशन सक्षम करता, ज्याचा अर्थ ॲक्सेस पॉइंट ऑथेंटिकेटर बनतो - तो स्टाफ डिव्हाइसवरून EAP क्रेडेंशियल्स RADIUS सर्व्हरकडे पाठवतो, जो त्यांची पडताळणी करतो आणि Access-Accept किंवा Access-Reject परत पाठवतो. Purple चे Staff WiFi उत्पादन ओळख प्रदाता म्हणून Microsoft Entra ID, Okta आणि Google Workspace सह समाकलित होते. जेव्हा एखाद्या स्टाफ सदस्याचे डिव्हाइस कनेक्ट होते, तेव्हा ते PEAP-MSCHAPv2 द्वारे प्रमाणपत्र किंवा युझरनेम आणि पासवर्ड सादर करते. Purple चा RADIUS सर्व्हर रिअल टाइममध्ये तुमच्या ओळख प्रदात्याविरुद्ध त्या क्रेडेंशियलची पडताळणी करतो. MikroTik च्या बाजूने, तुम्ही वायरलेस सुरक्षा प्रोफाइल कॉन्फिगर करता ज्यामध्ये authentication-types हे wpa2-eap वर सेट केलेले असते आणि तुम्ही RADIUS क्लायंटला service=wireless सह Purple च्या सर्व्हरकडे निर्देशित करता. CAPsMAN मध्ये - जी MikroTik ची केंद्रीकृत ॲक्सेस पॉइंट व्यवस्थापन प्रणाली आहे - तुम्ही हे सुरक्षा कॉन्फिगरेशन स्तरावर सेट करता जेणेकरून ते तुमच्या सर्व व्यवस्थापित ॲक्सेस पॉइंट्सवर सुसंगतपणे लागू होईल. RADIUS सर्व्हर ऑथेंटिकेट झालेल्या स्टाफला विशिष्ट VLAN वर ठेवण्यासाठी Mikrotik-Wireless-VLANID ॲट्रिब्युट परत पाठवू शकतो. अशा प्रकारे तुम्ही नेटवर्कचे विभाजन लागू करता - फायनान्स स्टाफ VLAN 10 वर, ऑपरेशन्स VLAN 20 वर, आणि असेच - सर्व काही एकाच SSID वरून, सर्व काही ओळखीवर आधारित. स्वयंचलित रिव्होकेशनसाठी - जेव्हा एखादा स्टाफ सदस्य नोकरी सोडतो - Purple चे तुमच्या ओळख प्रदात्यासोबतचे समाकलन म्हणजे जेव्हा तुम्ही Entra ID किंवा Okta मध्ये खाते अक्षम करता, तेव्हा पुढील ऑथेंटिकेशनचा प्रयत्न अयशस्वी होतो आणि डिव्हाइस डिस्कनेक्ट होते. कोणत्याही मॅन्युअल राउटर कॉन्फिगरेशन बदलांची आवश्यकता नाही. भाग तीन: Private Pre-Shared Keys सह Multi-Tenant WiFi. हे तिन्हींपैकी सर्वात मनोरंजक आर्किटेक्चर आहे. Private PSK - ज्याला कधीकधी PPSK किंवा iPSK म्हटले जाते - तुम्हाला एकच SSID चालवण्याची परवानगी देते जिथे प्रत्येक भाडेकरू, रहिवासी किंवा डिव्हाइस ग्रुप एका युनिक पासफ्रेजसह कनेक्ट होतो आणि प्रत्येक पासफ्रेज वेगवेगळ्या VLAN शी मॅप होतो. MikroTik वर, हे वायरलेस इंटरफेसवर MAC-आधारित RADIUS ऑथेंटिकेशनद्वारे कार्य करते. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा ॲक्सेस पॉइंट डिव्हाइसचा MAC ॲड्रेस RADIUS सर्व्हरला युझरनेम म्हणून पाठवतो. RADIUS सर्व्हर - एकतर RouterOS 7 मधील MikroTik चा स्वतःचा User Manager किंवा FreeRADIUS - तो MAC ॲड्रेस शोधतो आणि दोन व्हेंडर-विशिष्ट ॲट्रिब्युट्स परत पाठवतो: Mikrotik-Wireless-Psk, जो प्रति-डिव्हाइस पासफ्रेज आहे, आणि Mikrotik-Wireless-VLANID, जो डिव्हाइसला योग्य VLAN वर ठेवतो. वायरलेस सुरक्षा प्रोफाइलमध्ये radius-mac-authentication हे yes वर सेट असणे आवश्यक आहे आणि RADIUS क्लायंटला service=wireless आवश्यक आहे. प्रत्यक्षात, २०० अपार्टमेंट्स असलेल्या बिल्ड-टू-रेंट प्रॉपर्टीसाठी, रहिवासी जेव्हा राहायला येतात तेव्हा तुम्ही त्यांच्या डिव्हाइसचे MAC ॲड्रेस Purple च्या प्लॅटफॉर्मवर आधीच नोंदवून घ्याल. Purple प्रत्येक MAC ला एका युनिक PSK आणि त्या अपार्टमेंटच्या नेटवर्क सेगमेंटशी संबंधित VLAN शी मॅप करते. रहिवासी त्यांच्या अपार्टमेंटच्या पासफ्रेजचा वापर करून कनेक्ट होतात. त्यांचे डिव्हाइसेस एका स्वतंत्र VLAN वर जातात. त्यांच्या शेजाऱ्यांचे डिव्हाइसेस पूर्णपणे वेगळ्या VLAN वर असतात. कोणीही एकमेकांचे ट्रॅफिक पाहू शकत नाही. 802.1X ला सपोर्ट न करणाऱ्या डिव्हाइसेससाठी - जसे की स्मार्ट टीव्ही, गेमिंग कन्सोल, IoT डिव्हाइसेस - हा दृष्टिकोन एक व्यावहारिक पर्याय आहे. डिव्हाइसला फक्त WPA2-PSK सपोर्ट करणे आवश्यक आहे, जे सर्वच डिव्हाइसेस करतात. [IMPLEMENTATION RECOMMENDATIONS AND PITFALLS - अंदाजे २ मिनिटे] या तैनातींमध्ये सामान्यतः चुकीच्या घडणाऱ्या चार गोष्टी मी तुम्हाला सांगतो. पहिले: walled garden मधील त्रुटी. जर Purple चे स्प्लॅश पेज लोड होत नसेल, तर तुमच्या walled garden मधील नोंदी तपासा. सर्वात सामान्य कारण म्हणजे गहाळ असलेले CDN डोमेन किंवा सोशल लॉगिन रिडायरेक्ट ज्याला व्हाईटलिस्ट केलेले नाही. ऑथेंटिकेशनपूर्वी कोणते DNS क्वेरी ब्लॉक केले जात आहेत हे पाहण्यासाठी MikroTik टॉर्च टूल किंवा पॅकेट स्निफर वापरा. दुसरे: RADIUS टाइमआउट विसंगती. MikroTik चा डीफॉल्ट RADIUS टाइमआउट १,१०० मिलिसेकंद आहे. जर Purple चा RADIUS सर्व्हर भौगोलिकदृष्ट्या दूर असेल किंवा नेटवर्क मार्गामध्ये लेटन्सी असेल, तर तुम्हाला मधूनमधून ऑथेंटिकेशन अयशस्वी झाल्याचे दिसेल. टाइमआउट ३,००० मिलिसेकंदपर्यंत वाढवा आणि लवचिकतेसाठी बॅकअप RADIUS सर्व्हर कॉन्फिगर करा. तीसरे: ब्रिजवर VLAN फिल्टरिंग सक्षम नसणे. RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट केवळ तेव्हाच कार्य करते जेव्हा ब्रिज VLAN फिल्टरिंग सक्षम असते. ही RouterOS ची आवश्यकता आहे. RADIUS काहीही परत करत असले तरी सर्व क्लायंट डीफॉल्ट VLAN वर जात असल्याचे तुम्हाला दिसत असल्यास, तुमच्या ब्रिज इंटरफेसवर vlan-filtering=yes सेट केले आहे की नाही ते तपासा. चौथे: CAPsMAN व्हर्जन विसंगती. जर तुम्ही CAPsMAN व्हर्जन २ आणि व्हर्जन ३ व्यवस्थापित ॲक्सेस पॉइंट्सचे मिश्रण चालवत असाल, तर VLAN टॅगिंगचे वर्तन भिन्न असू शकते. डायनॅमिक VLAN वैशिष्ट्ये तैनात करण्यापूर्वी तुमच्या संपूर्ण AP क्षेत्रामध्ये CAPsMAN व्हर्जन ३ सह RouterOS 7 वर प्रमाणीकरण करा. एक आर्किटेक्चरल शिफारस: तुमचे अतिथी, स्टाफ आणि मॅनेजमेंट ट्रॅफिक पहिल्या दिवसापासूनच वेगवेगळ्या VLAN वर चालवा, जरी तुम्ही लगेचच तिन्ही Purple वापराची प्रकरणे वापरत नसलात तरीही. सपाट नेटवर्कवर नंतर VLAN सेगमेंटेशन लागू करणे हे सुरुवातीपासूनच ते तयार करण्यापेक्षा खूपच जास्त त्रासदायक ठरते. [RAPID-FIRE Q AND A - अंदाजे १ मिनिट] मी बाह्य RADIUS सर्व्हरऐवजी MikroTik चे अंगभूत User Manager वापरू शकतो का? होय, लहान तैनातींसाठी. RouterOS 7 मधील User Manager वायरलेस 802.1X साठी PEAP-MSCHAPv2 ला सपोर्ट करतो आणि Mikrotik-Wireless-VLANID ॲट्रिब्युट परत पाठवू शकतो. Purple सह व्यावसायिक तैनातीसाठी, तुम्ही Purple च्या होस्ट केलेल्या RADIUS इन्फ्रास्ट्रक्चरचा वापर कराल, जे तुमच्यासाठी ओळख प्रदाता समाकलन आणि सेशन व्यवस्थापन हाताळते. Purple हे MikroTik CAPsMAN ला सपोर्ट करते का? होय. Purple हे हार्डवेअर-अज्ञेयवादी आहे. हे समाकलन RADIUS आणि हॉटस्पॉट रिडायरेक्ट स्तरावर कार्य करते, त्यामुळे ते स्वतंत्र MikroTik ॲक्सेस पॉइंट्स आणि CAPsMAN-व्यवस्थापित तैनातींशी समान रीतीने सुसंगत आहे. मला कोणत्या RouterOS व्हर्जनची आवश्यकता आहे? या मार्गदर्शकामध्ये समाविष्ट असलेल्या तिन्ही वापराच्या प्रकरणांसाठी RouterOS 7.x ची शिफारस केली जाते. वायरलेस RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट आणि अद्ययावत User Manager ही RouterOS 7 ची वैशिष्ट्ये आहेत. RouterOS 6.x हॉटस्पॉट आणि मूलभूत RADIUS ऑथेंटिकेशनला सपोर्ट करते परंतु त्यामध्ये काही वायरलेस VLAN क्षमतांचा अभाव आहे. [SUMMARY AND NEXT STEPS - अंदाजे १ मिनिट] थोडक्यात सांगायचे तर: MikroTik RouterOS तुम्हाला Purple सह तीन वेगळे समाकलन बिंदू देते. Hotspot Gateway अतिथी WiFi रिडायरेक्शन आणि captive portal ऑथेंटिकेशन हाताळते. RADIUS सह वायरलेस 802.1X कॉन्फिगरेशन ओळख-आधारित प्रवेशासह सुरक्षित स्टाफ WiFi हाताळते. आणि Private PSK सह MAC-आधारित RADIUS ऑथेंटिकेशन निवासी आणि मिश्र-वापर मालमत्तांसाठी मल्टि-टेनंट नेटवर्क विभाजन हाताळते. या तिन्हींमधील समान धागा म्हणजे RADIUS. तुमचे RADIUS क्लायंट कॉन्फिगरेशन योग्य करा - योग्य IP, योग्य शेअर केलेले सिक्रेट, योग्य सर्व्हिस प्रकार, योग्य टाइमआउट - आणि बाकीचे आपोआप होईल. तुमची पुढील पावले: तुमच्या Purple डॅशबोर्डवर लॉग इन करा, व्हेन्यू कॉन्फिगरेशनवर जा आणि तुमचे RADIUS क्रेडेंशियल्स मिळवा. त्यानंतर तुमचे हॉटस्पॉट प्रोफाइल, तुमचे वायरलेस सुरक्षा प्रोफाइल आणि तुमच्या walled garden नोंदी कॉन्फिगर करण्यासाठी लेखी मार्गदर्शकातील CLI कमांड्सचे अनुसरण करा. तुमच्या संपूर्ण क्षेत्रात लागू करण्यापूर्वी एकाच ॲक्सेस पॉइंटसह चाचणी घ्या. जर तुम्ही हे मोठ्या प्रमाणावर तैनात करत असाल - एकाधिक साइट्स, शेकडो ॲक्सेस पॉइंट्स - तर Purple ची प्रोफेशनल सर्व्हिसेस टीम या तैनातीला मदत करू शकते. Purple जागतिक स्तरावर ८०,००० थेट ठिकाणांवर ९९.९९९% अपटाइमसह चालते आणि ISO 27001, GDPR आणि Cyber Essentials प्रमाणित आहे. ऐकल्याबद्दल धन्यवाद. सर्व CLI कमांड्स, RADIUS ॲट्रिब्युट टेबल्स आणि सराव उदाहरणांसह संपूर्ण लेखी मार्गदर्शकाची लिंक शो नोट्समध्ये दिली आहे.

header_image.png

कार्यकारी सारांश

MikroTik RouterOS ला Purple सह समाकलित केल्याने अतिथी, स्टाफ आणि मल्टि-टेनंट वातावरणात एक युनिफाइड, ओळख-चालित नेटवर्क तयार होते. हे मार्गदर्शक MikroTik हार्डवेअरवर Purple चे क्लाउड ओव्हरले तैनात करण्यासाठी आवश्यक असलेले विशिष्ट कॉन्फिगरेशन लॉजिक प्रदान करते. तुम्ही Guest WiFi रिडायरेक्शनसाठी RouterOS Hotspot Gateway कसे कॉन्फिगर करायचे, सुरक्षित Staff WiFi साठी IEEE 802.1X कसे लागू करायचे आणि Multi-Tenant WiFi ट्रॅफिक वेगळे करण्यासाठी Private Pre-Shared Keys (PPSK) कसे तैनात करायचे हे शिकाल।

या डेप्लॉयमेंट मॉडेल्सचे अनुसरण करून, तुम्ही WiFi Analytics साठी फर्स्ट-पार्टी डेटा गोळा करत असताना तुमचे नेटवर्क सुरक्षितपणे विभाजित करता. Purple ने २०२४ मध्ये ९९.९९९% अपटाइमसह ४४० दशलक्ष लॉगिनवर प्रक्रिया केली, ज्यामुळे हे आर्किटेक्चर Retail , Hospitality , आणि Transport मधील उच्च-घनता वातावरणासाठी योग्य बनते.

तांत्रिक सखोल विश्लेषण

Guest WiFi: Captive Portal आणि Walled Garden

MikroTik Hotspot Gateway अनऑथेंटिकेटेड HTTP ट्रॅफिक अडवतो आणि त्याला Purple च्या होस्ट केलेल्या captive portal वर रिडायरेक्ट करतो. Purple हे ऑथेंटिकेशन आणि सेशन व्यवस्थापन हाताळणारा RADIUS सर्व्हर म्हणून काम करते.

captive portal योग्यरित्या लोड होईल याची खात्री करण्यासाठी, तुम्ही walled garden कॉन्फिगर करणे आवश्यक आहे. हे ऑथेंटिकेशनपूर्वी Purple च्या स्प्लॅश पेज डोमेन्स, Content Delivery Networks (CDNs) आणि OAuth प्रदात्यांना (जसे की Google Workspace आणि Microsoft Entra ID) प्रवेश देण्यास अनुमती देते. या नोंदींशिवाय, रिडायरेक्ट लूप तुटतो.

यशस्वी ऑथेंटिकेशनवर, Purple चा RADIUS सर्व्हर कनेक्शन मर्यादा लागू करण्यासाठी Session-Timeout आणि थेट Purple डॅशबोर्डवरून बँडविड्थ मर्यादा लागू करण्यासाठी पर्यायीपणे Mikrotik-Rate-Limit सह मानक ॲट्रिब्युट्स परत पाठवतो.

Staff WiFi: 802.1X ऑथेंटिकेशन

Staff WiFi साठी, तुम्ही IEEE 802.1X तैनात करून शेअर केलेले पासवर्ड काढून टाकता. MikroTik ॲक्सेस पॉइंट ऑथेंटिकेटर म्हणून काम करतो, जो Purple च्या RADIUS सर्व्हरकडे EAP क्रेडेंशियल्स पाठवतो. Purple हे Microsoft Entra ID, Okta आणि Google Workspace सह नेटिव्हली समाकलित होते, आणि PEAP-MSCHAPv2 किंवा EAP-TLS द्वारे क्रेडेंशियल्सची पडताळणी करते.

जेव्हा एखादा स्टाफ सदस्य कनेक्ट होतो, Purple चा RADIUS सर्व्हर Mikrotik-Wireless-VLANID ॲट्रिब्युट परत पाठवू शकतो. हे MikroTik राउटरला ऑथेंटिकेट झालेल्या डिव्हाइसला विशिष्ट VLAN वर ठेवण्याची सूचना देते, ज्यामुळे एकाच SSID वरून भूमिका-आधारित नेटवर्क विभाजन सक्षम होते. सुरक्षा मानकांच्या विस्तृत विहंगावलोकनासाठी, Enterprise WiFi Security: A Complete Guide for 2026 पहा.

Multi-Tenant WiFi: Private PSK (PPSK)

मल्टि-टेनंट वातावरणात 802.1X च्या गुंतागुंतीशिवाय सुरक्षित आयसोलेशन आवश्यक असते, कारण अनेक ग्राहक डिव्हाइसेस (जसे की स्मार्ट टीव्ही आणि गेमिंग कन्सोल) याला सपोर्ट करत नाहीत. MikroTik हे MAC-आधारित RADIUS ऑथेंटिकेशनद्वारे Private PSK (PPSK) ला सपोर्ट करते.

जेव्हा एखादे डिव्हाइस SSID शी कनेक्ट होते, तेव्हा MikroTik राउटर डिव्हाइसचा MAC ॲड्रेस Purple कडे पाठवतो. Purple Mikrotik-Wireless-Psk ॲट्रिब्युट (त्या भाडेकरूसाठी युनिक पासफ्रेज) आणि Mikrotik-Wireless-VLANID ॲट्रिब्युट परत पाठवते. हे आर्किटेक्चर शेकडो भाडेकरूंना पूर्णपणे स्वतंत्र नेटवर्क बबल्समध्ये राहून एकाच SSID चा वापर करण्याची अनुमती देते.

architecture_overview.png

अंमलबजावणी मार्गदर्शक

1. RADIUS क्लायंट कॉन्फिगर करणे

प्रथम, RouterOS मध्ये Purple ला RADIUS सर्व्हर म्हणून परिभाषित करा. हे तिन्ही वापराच्या प्रकरणांना लागू होते.

/radius
add address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET service=hotspot,wireless authentication-port=1812 accounting-port=1813 timeout=3000ms

2. Guest WiFi हॉटस्पॉट सेटअप

तुमच्या अतिथी VLAN इंटरफेसवर Hotspot सेटअप विझार्ड चालवा, नंतर तयार झालेल्या प्रोफाइलवर RADIUS ऑथेंटिकेशन सक्षम करा.

/ip hotspot profile
set [ find default=yes ] use-radius=yes radius-accounting=yes

Purple च्या इन्फ्रास्ट्रक्चरमध्ये प्रवेश देण्यास अनुमती देण्यासाठी walled garden कॉन्फिगर करा.

/ip hotspot walled-garden
add action=allow dst-host=*purple.ai
add action=allow dst-host=*purpleportal.net

3. Staff WiFi 802.1X सेटअप

WPA2-Enterprise वापरण्यासाठी वायरलेस सुरक्षा प्रोफाइल कॉन्फिगर करा आणि ते RADIUS सर्व्हरकडे निर्देशित करा.

/interface wireless security-profiles
add authentication-types=wpa2-eap eap-methods=passthrough mode=dynamic-keys name=staff-8021x radius-mac-authentication=no

डायनॅमिक VLAN असाइनमेंटला सपोर्ट करण्यासाठी ब्रिज VLAN फिल्टरिंग सक्षम असल्याची खात्री करा.

/interface bridge
set bridge1 vlan-filtering=yes

4. Multi-Tenant PPSK सेटअप

PPSK साठी, वायरलेस सुरक्षा प्रोफाइलवर MAC ऑथेंटिकेशन सक्षम करा आणि MAC ॲड्रेस फॉरमॅट कॉन्फिगर करा.

/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=multi-tenant-ppsk radius-mac-authentication=yes radius-mac-format=XX:XX:XX:XX:XX:XX

ppsk_vlan_diagram.png

सर्वोत्तम पद्धती

  • RouterOS 7 वर प्रमाणीकरण करा: RouterOS 6 च्या तुलनेत RouterOS 7 मध्ये वायरलेस RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट लक्षणीयरीत्या अधिक मजबूत आहे.
  • RADIUS टाइमआउट वाढवा: डीफॉल्ट MikroTik RADIUS टाइमआउट ११००ms आहे. नेटवर्क लेटन्सीमुळे मधूनमधून येणाऱ्या ऑथेंटिकेशन त्रुटी टाळण्यासाठी हे ३०००ms पर्यंत वाढवा.
  • होस्टनेम walled garden नोंदी वापरा: walled garden नोंदींसाठी नेहमी dst-address ऐवजी dst-host वापरा, कारण क्लाउड इन्फ्रास्ट्रक्चरचे IP ॲड्रेस बदलवारंवार बदलतात.
  • ब्रिज VLAN फिल्टरिंग सक्षम करा: RADIUS (Mikrotik-Wireless-VLANID) द्वारे डायनॅमिक VLAN असाइनमेंटसाठी ब्रिज इंटरफेसवर vlan-filtering=yes असणे आवश्यक आहे.

समस्या निवारण आणि जोखीम कमी करणे

जर Captive Portal लोड होण्यास अपयशी ठरले, तर वॉल्ड गार्डन नक्कीच अपूर्ण आहे. गेस्ट VLAN वरील अनधिकृत क्लायंट्सकडून ड्रॉप झालेल्या DNS क्वेरींचे निरीक्षण करण्यासाठी MikroTik Torch टूल वापरा. गहाळ डोमेन्स वॉल्ड गार्डनमध्ये जोडा.

जर 802.1X क्लायंट प्रमाणित होण्यास अपयशी ठरले, तर शेअर केलेला सिक्रेट तपासा आणि RADIUS क्लायंट service=wireless सह कॉन्फिगर केला असल्याची खात्री करा. Access-Reject हे Purple कडून येत आहे की तुमच्या ओळख प्रदात्याकडून येत आहे याची पुष्टी करण्यासाठी Purple डॅशबोर्ड लॉग तपासा.

जर क्लायंट प्रमाणित झाले परंतु त्यांना चुकीचा IP पत्ता मिळाला, तर ब्रिज VLAN फिल्टरिंग सक्षम असल्याची आणि DHCP सर्व्हर डायनॅमिकली नियुक्त केलेल्या VLAN इंटरफेसशी योग्यरित्या जोडलेला असल्याची खात्री करा.

ROI आणि व्यावसायिक प्रभाव

तुमच्या MikroTik इन्फ्रास्ट्रक्चरवर Purple तैनात केल्याने खर्चाचे केंद्र महसूल निर्मितीच्या केंद्रात बदलते. फर्स्ट-पार्टी डेटा कॅप्चर करून, ठिकाणे तपशीलवार डिजिटल प्रोफाइल तयार करू शकतात आणि विपणन मोहिमा स्वयंचलित करू शकतात. उदाहरणार्थ, Avanti West Coast ने वारंवार प्रवास करणाऱ्या प्रवाशांचा आणि अपसेल संधींचा फायदा घेऊन गुंतवणुकीवर ४६३% परतावा मिळवला.

शिवाय, ओळख-आधारित नेटवर्किंग आयटी ओव्हरहेड कमी करते. Entra ID द्वारे Staff WiFi साठी ऑनबोर्डिंग आणि ऑफबोर्डिंग स्वयंचलित केल्याने मॅन्युअल पासवर्ड व्यवस्थापन संपुष्टात येते, तर Multi-Tenant WiFi साठी PPSK मुळे मालमत्ता व्यवस्थापकांना प्रति युनिट समर्पित हार्डवेअर तैनात न करता वेगळे नेटवर्क प्रदान करणे शक्य होते.

महत्वाच्या व्याख्या

Hotspot Gateway

एक RouterOS वैशिष्ट्य जे अनऑथेंटिकेटेड HTTP ट्रॅफिक अडवते आणि त्याला captive portal स्प्लॅश पेजवर रिडायरेक्ट करते.

इंटरनेट प्रवेश देण्यापूर्वी अतिथींचा डेटा गोळा करण्यासाठी आणि सेवा अटी लागू करण्यासाठी वापरले जाते.

Walled Garden

अनऑथेंटिकेटेड वापरकर्ते प्रवेश करू शकतील अशा मंजूर डेस्टिनेशन्सची यादी.

लॉगिन प्रक्रिया पूर्ण करण्यासाठी अतिथींना Purple स्प्लॅश पेज, CDNs आणि OAuth प्रदात्यांपर्यंत (जसे की Google) पोहोचू देण्यासाठी अत्यंत आवश्यक आहे.

802.1X

पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठी एक IEEE मानक जे LAN किंवा WLAN शी कनेक्ट होऊ इच्छिणाऱ्या डिव्हाइसेसना ऑथेंटिकेशन यंत्रणा प्रदान करते.

सुरक्षित Staff WiFi साठी वापरले जाते, जे शेअर केलेल्या पासवर्डऐवजी Entra ID किंवा Okta द्वारे ऑथेंटिकेशनला अनुमती देते.

Private PSK (PPSK)

एक सुरक्षा आर्किटेक्चर जिथे एकाच SSID वर एकाधिक युनिक Pre-Shared Keys वापरल्या जातात, ज्या सहसा विशिष्ट MAC ॲड्रेस आणि VLAN शी जोडलेल्या असतात.

Multi-Tenant WiFi साठी आदर्श, जे रहिवासी आणि त्यांच्या ग्राहक डिव्हाइसेससाठी स्वतंत्र नेटवर्क बबल्स प्रदान करते.

RADIUS

Remote Authentication Dial-In User Service. एक नेटवर्किंग प्रोटोकॉल जो केंद्रीकृत Authentication, Authorization, आणि Accounting (AAA) व्यवस्थापन प्रदान करतो.

ओळख पडताळणीसाठी MikroTik हार्डवेअरला Purple च्या क्लाउड प्लॅटफॉर्मशी जोडणारा मुख्य प्रोटोकॉल.

VLAN Filtering

एक RouterOS ब्रिज सेटिंग जे ब्रिज पोर्ट्सवर VLAN टॅगिंग आणि अनटॅगिंग नियम लागू करते.

RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट योग्यरित्या कार्य करण्यासाठी सक्षम असणे आवश्यक आहे.

CAPsMAN

Controlled Access Point system Manager. MikroTik ची केंद्रीकृत वायरलेस व्यवस्थापन प्रणाली.

एकाधिक ॲक्सेस पॉइंट्सवर सुसंगत वायरलेस सुरक्षा प्रोफाइल आणि RADIUS सेटिंग्ज तैनात करण्यासाठी वापरले जाते.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. क्लायंट-साइड प्रमाणपत्रांची आवश्यकता असलेली अत्यंत सुरक्षित ऑथेंटिकेशन पद्धत.

पासवर्डशिवाय ऑथेंटिकेशन आवश्यक असलेल्या झिरो-ट्रस्ट Staff WiFi तैनातीसाठी Purple द्वारे समर्थित.

सोडवलेली उदाहरणे

एका २०० खोल्यांच्या हॉटेलला त्यांच्या MikroTik ॲक्सेस पॉइंट्सवर सुरक्षित Staff WiFi तैनात करायचे आहे. त्यांना त्यांच्या विद्यमान Microsoft Entra ID क्रेडेंशियल्सचा वापर करून फायनान्स स्टाफला VLAN 10 वर आणि ऑपरेशन्स स्टाफला VLAN 20 वर ठेवायचे आहे.

  1. Purple डॅशबोर्डमध्ये Purple ला Microsoft Entra ID सह समाकलित करा.
  2. service=wireless सह Purple कडे निर्देश करण्यासाठी MikroTik RADIUS क्लायंट कॉन्फिगर करा.
  3. authentication-types=wpa2-eap सह MikroTik वायरलेस सुरक्षा प्रोफाइल तयार करा.
  4. MikroTik ब्रिजवर vlan-filtering=yes सक्षम करा.
  5. Purple मध्ये, Mikrotik-Wireless-VLANID=10 परत करण्यासाठी Entra ID 'Finance' ग्रुप मॅप करा आणि Mikrotik-Wireless-VLANID=20 परत करण्यासाठी 'Operations' ग्रुप मॅप करा.
परीक्षकाचे भाष्य: हा दृष्टिकोन सुरक्षित, पासवर्डशिवाय ऑथेंटिकेशनसाठी IEEE 802.1X चा वापर करतो. Entra ID ग्रुप्स आणि RADIUS ॲट्रिब्युट्सवर अवलंबून राहून, नेटवर्क एजवर ट्रॅफिकचे डायनॅमिकली विभाजन करते, ज्यामुळे अटॅक सरफेस कमी होतो आणि राउटरवरील मॅन्युअल VLAN कॉन्फिगरेशनची आवश्यकता उरत नाही.

एका बिल्ड-टू-रेंट प्रॉपर्टी मॅनेजरला MikroTik CAPsMAN कडून ब्रॉडकास्ट होणाऱ्या एकाच SSID चा वापर करून ५० अपार्टमेंट्ससाठी स्वतंत्र WiFi नेटवर्क प्रदान करायचे आहे.

  1. authentication-types=wpa2-psk आणि radius-mac-authentication=yes सह SSID साठी MikroTik वायरलेस सुरक्षा प्रोफाइल कॉन्फिगर करा.
  2. RADIUS क्लायंट Purple कडे निर्देश करणाऱ्या service=wireless सह कॉन्फिगर केला असल्याची खात्री करा.
  3. Purple डॅशबोर्डमध्ये, रहिवाशांच्या डिव्हाइसेसचे MAC ॲड्रेस नोंदवा.
  4. Purple मध्ये प्रत्येक अपार्टमेंटला एक युनिक PSK आणि VLAN ID नियुक्त करा.
  5. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा Purple Mikrotik-Wireless-Psk आणि Mikrotik-Wireless-VLANID ॲट्रिब्युट्स परत पाठवते, ज्यामुळे ते डिव्हाइस त्याच्या स्वतंत्र नेटवर्क बबलमध्ये जाते.
परीक्षकाचे भाष्य: ही Private PSK (PPSK) आर्किटेक्चर 802.1X क्षमता नसलेल्या ग्राहक डिव्हाइसेसना सपोर्ट करत एंटरप्राइझ-दर्जाचे आयसोलेशन प्रदान करते. हे कार्यक्षमतेने स्केल होते आणि Purple द्वारे केंद्रीकृत व्यवस्थापनास अनुमती देते.

सराव प्रश्न

Q1. तुम्ही MikroTik Hotspot Gateway कॉन्फिगर केले आहे आणि ते Purple च्या RADIUS सर्व्हरकडे निर्देशित केले आहे. अतिथी SSID शी कनेक्ट होतात, परंतु त्यांच्या ब्राउझरमध्ये Purple स्प्लॅश पेजऐवजी टाइमआउट एरर दिसते. सर्वात संभाव्य कॉन्फिगरेशन त्रुटी कोणती आहे?

टीप: अतिथी ऑथेंटिकेट होण्यापूर्वी काय घडले पाहिजे याचा विचार करा.

नमुना उत्तर पहा

walled garden चुकीच्या पद्धतीने कॉन्फिगर केले आहे किंवा त्यातील नोंदी गहाळ आहेत. /ip hotspot walled-garden मध्ये Purple च्या स्प्लॅश पेज डोमेन्स आणि संबंधित CDNs ना प्रवेश न दिल्यास, अनऑथेंटिकेटेड अतिथी लॉगिन पेज लोड करू शकत नाही, ज्यामुळे टाइमआउट होतो.

Q2. एका रिटेल चेनला 802.1X आणि Entra ID चा वापर करून Staff WiFi तैनात करायचे आहे. ते `authentication-types=wpa2-eap` कॉन्फिगर करतात आणि RADIUS क्लायंट सेट करतात. तथापि, ऑथेंटिकेशन अयशस्वी होते. तुम्ही RADIUS क्लायंट कॉन्फिगरेशन तपासता आणि तुम्हाला `service=hotspot` दिसते. तुम्ही याचे निवारण कसे कराल?

टीप: वेगवेगळ्या वायरलेस ऑथेंटिकेशन पद्धतींसाठी RouterOS मध्ये वेगवेगळ्या RADIUS सर्व्हिस प्रकारांची आवश्यकता असते.

नमुना उत्तर पहा

RADIUS क्लायंट कॉन्फिगरेशनमध्ये service=wireless समाविष्ट करण्यासाठी बदल करा. hotspot सर्व्हिस प्रकार केवळ captive portal ऑथेंटिकेशनसाठी वापरला जातो. 802.1X आणि MAC ऑथेंटिकेशनसाठी wireless सर्व्हिस प्रकार आवश्यक आहे.

Q3. तुम्ही Private PSKs वापरून Multi-Tenant WiFi तैनात करत आहात. Purple यशस्वीरित्या `Mikrotik-Wireless-Psk` and `Mikrotik-Wireless-VLANID` ॲट्रिब्युट्स परत पाठवते आणि डिव्हाइस कनेक्ट होते. तथापि, डिव्हाइसला स्वतंत्र भाडेकरू सबनेटऐवजी डीफॉल्ट मॅनेजमेंट सबनेटमधून IP ॲड्रेस मिळतो. कोणती RouterOS सेटिंग गहाळ आहे?

टीप: डायनॅमिक VLAN असाइनमेंटसाठी ब्रिजने VLAN टॅग्जवर प्रक्रिया करणे आवश्यक आहे.

नमुना उत्तर पहा

Bridge VLAN filtering अक्षम आहे. तुम्ही ब्रिज इंटरफेसवर vlan-filtering=yes सेट केले पाहिजे. याशिवाय, ब्रिज RADIUS द्वारे नियुक्त केलेल्या डायनॅमिक VLAN टॅगकडे दुर्लक्ष करतो आणि ट्रॅफिक डीफॉल्ट अनटॅग केलेल्या PVID वर परत जाते.

या मालिकेमध्ये पुढे वाचा

Allied Telesis Access Points चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Allied Telesis TQ-Series access points ला Purple WiFi सोबत एकत्रित करण्यासाठी एक सर्वसमावेशक कॉन्फिगरेशन प्लेबुक प्रदान करते. यामध्ये बाह्य Captive Portal रिडायरेक्शन, 802.1X RADIUS ऑथेंटिकेशन आणि सुरक्षित मल्टी-टेनंट डिप्लॉयमेंट्ससाठी Private Pre-Shared Keys (PPSK) वापरून डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →

Huawei AirEngine आणि CloudCampus चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Huawei AirEngine ॲक्सेस पॉइंट्स आणि iMaster NCE-Campus ला Purple WiFi सोबत एकत्रित करण्यासाठी टप्प्याटप्प्याने सूचना प्रदान करते. यामध्ये एंटरप्राइझ नेटवर्कसाठी Captive Portal कॉन्फिगरेशन, 802.1X कर्मचारी प्रमाणीकरण, आणि PPSK डायनॅमिक VLAN स्टिअरिंग समाविष्ट आहे.

मार्गदर्शिका वाचा →

DrayTek Vigor Routers and Access Points Integration with Purple WiFi

हे मार्गदर्शक DrayTek Vigor राउटर आणि VigorAP ऍक्सेस पॉईंट्सना Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी टप्प्याटप्प्याने तांत्रिक सूचना प्रदान करते. यामध्ये Guest WiFi साठी DrayTek Captive Portal कॉन्फिगरेशन, सुरक्षित Staff WiFi साठी 802.1X ऑथेंटिकेशन, Walled Garden सेटअप आणि डायनॅमिक VLAN असाइनमेंटसह मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी DrayTek Multiple PSK (PPSK) कॉन्फिगरेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी Purple तैनात करणाऱ्या IT इंस्टॉलर्स आणि SMB नेटवर्क प्रशासकांसाठी डिझाइन केले आहे.

मार्गदर्शिका वाचा →