Mikrotik RouterOS आणि guest WiFi: Purple सह captive portal सेटअप

MikroTik RouterOS Captive Portal आणि Purple WiFi Integration Guide - Podcast Script [INTRO - approximately 1 minute] स्वागत आहे. जर तुम्ही हॉटेल, रिटेल चेन, स्टेडियम किंवा कॉन्फरन्स सेंटरमध्ये WiFi इन्फ्रास्ट्रक्चर व्यवस्थापित करत असाल आणि MikroTik RouterOS चालवत असाल, तर हा एपिसोड तुमच्यासाठी आहे. मी तुम्हाला MikroTik चे Hotspot Gateway Purple च्या गेस्ट WiFi प्लॅटफॉर्मसह कसे समाकलित करायचे ते स्पष्टपणे सांगणार आहे - यामध्ये तीन वेगळे वापर प्रकरणांचा समावेश आहे: captive portal आणि walled garden सह गेस्ट WiFi, 802.1X वापरून सुरक्षित स्टाफ WiFi, आणि MikroTik च्या Private Pre-Shared Key वैशिष्ट्याचा वापर करून मल्टी-टेनंट नेटवर्क विलगीकरण (segregation). हे केवळ सैद्धांतिक स्पष्टीकरण नाही. या एपिसोडच्या शेवटी, तुमच्याकडे हे सेटअप स्वतः तैनात किंवा ऑडिट करण्यासाठी विशिष्ट CLI कमांड्स, RADIUS ॲट्रिब्युट्स आणि कॉन्फिगरेशन लॉजिक असेल. चला तर मग सुरुवात करूया. [TECHNICAL DEEP-DIVE - approximately 5 minutes] भाग एक: गेस्ट WiFi आणि MikroTik captive portal. MikroTik चे Hotspot Gateway हे RouterOS वरील गेस्ट WiFi रिडायरेक्शनमागील मुख्य इंजिन आहे. जेव्हा एखादा व्हिजिटर तुमच्या गेस्ट SSID शी कनेक्ट होतो, तेव्हा Hotspot Gateway त्यांच्या HTTP ट्रॅफिकला अडवतो आणि त्यांना स्प्लॅश पेजवर रिडायरेक्ट करतो - म्हणजेच तुमचे captive portal. Purple हे स्प्लॅश पेज होस्ट करते. तुमचा MikroTik राउटर Hotspot Gateway आणि RADIUS क्लायंट म्हणून काम करतो. Purple चे प्लॅटफॉर्म RADIUS सर्व्हर म्हणून काम करते. तुम्ही हे सेटअप कसे कराल ते पाहूया. प्रथम, Winbox मधील IP मेनूमधून किंवा CLI द्वारे Hotspot Setup विझार्ड चालवा. तुम्ही ते तुमच्या गेस्ट-फेसिंग इंटरफेसला असाइन कराल - सामान्यत: VLAN इंटरफेस किंवा ब्रिज पोर्ट. तुमचा स्थानिक ॲड्रेस पूल सेट करा, तुमचे DNS सर्व्हर्स कॉन्फिगर करा आणि हॉटस्पॉटला एक DNS नाव द्या. गेस्ट ऑथेंटिकेट होण्यापूर्वी त्यांच्या ब्राउझरमध्ये हेच DNS नाव पाहतात. विझार्ड पूर्ण झाल्यावर, तुम्हाला हॉटस्पॉट प्रोफाइल Purple च्या RADIUS सर्व्हरकडे निर्देशित करावे लागेल. CLI मध्ये, ते असे दिसते: /radius add service=hotspot address=YOUR-PURPLE-RADIUS-IP secret=YOUR-SHARED-SECRET authentication-port=1812 accounting-port=1813 त्यानंतर हॉटस्पॉट प्रोफाइलवर RADIUS सक्षम करा: /ip hotspot profile set default use-radius=yes जेव्हा तुम्ही Purple डॅशबोर्डमध्ये तुमचे ठिकाण (venue) सेट कराल, तेव्हा Purple तुम्हाला RADIUS IP ॲड्रेस, शेअर केलेला सिक्रेट (shared secret) आणि स्प्लॅश पेज URL प्रदान करेल. आता, walled garden बद्दल. हे अत्यंत महत्त्वाचे आहे. गेस्ट ऑथेंटिकेट होण्यापूर्वी, त्यांच्या डिव्हाइसला Purple च्या स्प्लॅश पेजवर आणि तुम्ही वापरत असलेल्या कोणत्याही OAuth प्रदात्यांपर्यंत - जसे की Google, Facebook इत्यादी - पोहोचता आले पाहिजे. walled garden एंट्रीजशिवाय, रिडायरेक्ट लूप खंडित होतो आणि गेस्ट लॉग इन करू शकत नाहीत. RouterOS मध्ये, तुम्ही IP, Hotspot, Walled Garden अंतर्गत walled garden एंट्रीज जोडू शकता. तुम्हाला Purple चे स्प्लॅश पेज डोमेन, कोणतेही सोशल लॉगिन डोमेन आणि लॉगिन पेजचे घटक पुरवणारे कोणतेही CDN होस्ट जोडणे आवश्यक आहे. Purple चे दस्तऐवज तुमच्या प्रदेशासाठी अचूक डोमेनची सूची देतात. त्यांना IP एंट्रीज किंवा होस्टनाव (hostname) एंट्रीज म्हणून जोडा - IP ॲड्रेस बदलतात तेव्हा होस्टनाव एंट्रीज अधिक सुरक्षित आणि लवचिक ठरतात. यशस्वी प्रमाणीकरणावर Purple परत करत असलेल्या मुख्य RADIUS ॲट्रिब्युट्समध्ये सेशन टाईमआउटचा समावेश होतो, जे पुन्हा प्रॉम्ट मिळण्यापूर्वी अतिथी किती वेळ कनेक्ट राहतो हे नियंत्रित करते, आणि पर्यायीपणे Mikrotik-Rate-Limit व्हेंडर-विशिष्ट ॲट्रिब्यूट वापरून बँडविड्थ रेट लिमिट. हे तुम्हाला राउटर कॉन्फिग्रेशनला स्पर्श न करता थेट Purple डॅशबोर्डवरून प्रति अतिथी सेशन फेअर-युज पॉलिसी लागू करण्याची परवानगी देते. भाग दोन: 802.1X सह सुरक्षित स्टाफ WiFi. येथे तुम्ही शेअर केलेल्या पासवर्ड्सचा वापर पूर्णपणे बंद करता. IEEE 802.1X हे पोर्ट-आधारित नेटवर्क ॲक्सेस कंट्रोलसाठीचे मानक आहे. MikroTik वायरलेस इंटरफेसवर, तुम्ही WPA2-Enterprise किंवा WPA3-Enterprise प्रमाणीकरण सक्षम करता, ज्याचा अर्थ असा की ॲक्सेस पॉईंट एक ऑथेंटिकेटर बनतो - तो स्टाफ डिव्हाइस कडून EAP क्रेडेंशियल्स एका RADIUS सर्व्हरकडे पाठवतो, जो त्यांना प्रमाणित करतो आणि Access-Accept किंवा Access-Reject परत करतो. Purple चे स्टाफ WiFi उत्पादन आयडेंटिटी प्रदाता म्हणून Microsoft Entra ID, Okta, आणि Google Workspace सोबत इंटिग्रेट होते. जेव्हा एखाद्या स्टाफ सदस्याचे डिव्हाइस कनेक्ट होते, तेव्हा ते PEAP-MSCHAPv2 द्वारे प्रमाणपत्र किंवा युझरनेम आणि पासवर्ड सादर करते. Purple चा RADIUS सर्व्हर रिअल टाइममध्ये तुमच्या आयडेंटिटी प्रदात्याविरुद्ध त्या क्रेडेंशियलची पडताळणी करतो. MikroTik च्या बाजूला, तुम्ही प्रमाणीकरण-प्रकार wpa2-eap वर सेट करून वायरलेस सुरक्षा प्रोफाइल कॉन्फिगर करता, आणि service=wireless सह RADIUS क्लायंटला Purple च्या सर्व्हरकडे निर्देशित करता. CAPsMAN मध्ये - जे MikroTik चे केंद्रीकृत ॲक्सेस पॉईंट व्यवस्थापन नियंत्रण आहे - तुम्ही हे सुरक्षा कॉन्फिग्रेशन स्तरावर सेट करता जेणेकरून ते तुमच्या सर्व व्यवस्थापित ॲक्सेस पॉईंट्सवर सातत्याने लागू होईल. प्रमाणित कर्मचाऱ्यांना विशिष्ट VLAN वर ठेवण्यासाठी RADIUS सर्व्हर Mikrotik-Wireless-VLANID ॲट्रिब्यूट परत करू शकतो. अशा प्रकारे तुम्ही नेटवर्क सेगमेंटेशन लागू करता - फायनान्स स्टाफ VLAN 10 वर, ऑपरेशन्स VLAN 20 वर, आणि याचप्रमाणे - सर्व काही एकाच SSID वरून, सर्व काही आयडेंटिटीद्वारे चालवले जाते. ऑटोमॅटिक रिव्होकेशनसाठी - जेव्हा एखादा स्टाफ सदस्य नोकरी सोडतो - Purple चे तुमच्या आयडेंटिटी प्रदात्यासोबतचे इंटिग्रेशन म्हणजे जेव्हा तुम्ही Entra ID किंवा Okta मध्ये खाते निष्क्रिय करता, तेव्हा पुढील पुनर्-प्रमाणीकरण प्रयत्न अयशस्वी होतो आणि डिव्हाइस डिस्कनेक्ट केले जाते. कोणतेही मॅन्युअल राउटर कॉन्फिग्रेशन बदल आवश्यक नाहीत. भाग तीन: प्रायव्हेट प्री-शेअर्ड की सह मल्टी-टेनंट WiFi. हे तिन्हींपैकी सर्वात आर्किटेक्चरली मनोरंजक आहे. प्रायव्हेट PSK - ज्याला कधीकधी PPSK किंवा iPSK म्हटले जाते - तुम्हाला एकच SSID चालवण्याची परवानगी देते जेथे प्रत्येक टेनंट, रहिवासी किंवा डिव्हाइस गट एका युनिक पासफ्रेजसह कनेक्ट होतो, आणि प्रत्येक पासफ्रेज वेगळ्या VLAN वर मॅप होतो. MikroTik वर, हे वायरलेस इंटरफेसवरील MAC-आधारित RADIUS प्रमाणीकरणाद्वारे कार्य करते. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा ॲक्सेस पॉईंट डिव्हाइसचा MAC ॲड्रेस RADIUS सर्व्हरला युझरनेम म्हणून पाठवतो. RADIUS सर्व्हर - एकतर RouterOS 7 मधील MikroTik चा स्वतःचा युझर मॅनेजर, किंवा FreeRADIUS - तो MAC ॲड्रेस शोधतो आणि दोन व्हेंडर-विशिष्ट ॲट्रिब्युट्स परत करतो: Mikrotik-Wireless-Psk, जी प्रति-डिव्हाइस पासफ्रेज आहे, आणि Mikrotik-Wireless-VLANID, जे डिव्हाइसला योग्य VLAN वर ठेवते. वायरलेस सुरक्षा प्रोफाइलमध्ये radius-mac-authentication हे yes वर सेट करणे आवश्यक आहे, आणि RADIUS क्लायंटला service=wireless ची आवश्यकता आहे. प्रत्यक्षात, २०० अपार्टमेंट्स असलेल्या बिल्ड टू रेंट प्रॉपर्टीसाठी, रहिवासी तेथे राहायला आल्यावर तुम्ही प्रत्येक रहिवाशाच्या डिव्हाइसचे MAC ॲड्रेस Purple च्या प्लॅटफॉर्मवर आधीच नोंदवून घ्याल. Purple प्रत्येक MAC ला एका युनिक PSK आणि त्या अपार्टमेंटच्या नेटवर्क सेगमेंटशी संबंधित असलेल्या VLAN सोबत मॅप करते. रहिवासी त्यांच्या अपार्टमेंटचा पासफ्रेज वापरून कनेक्ट होतात. त्यांचे डिव्हाइसेस एका आयसोलेटेड VLAN वर येतात. त्यांच्या शेजाऱ्यांचे डिव्हाइसेस पूर्णपणे वेगळ्या VLAN वर असतात. कोणीही दुसऱ्याचे ट्रॅफिक पाहू शकत नाही. जे डिव्हाइसेस 802.1X ला सपोर्ट करत नाहीत - जसे की स्मार्ट टीव्ही, गेम्स कन्सोल, IoT डिव्हाइसेस - त्यांच्यासाठी हा दृष्टिकोन व्यावहारिक पर्याय आहे. डिव्हाइसने फक्त WPA2-PSK ला सपोर्ट करणे आवश्यक आहे, जे सर्वच डिव्हाइसेस करतात. [अंमलबजावणीच्या शिफारसी आणि त्रुटी - साधारण २ मिनिटे] या डिप्लॉयमेंट्समध्ये सामान्यतः चुकीच्या ठरणाऱ्या चार गोष्टी मी तुम्हाला सांगतो. पहिली गोष्ट: वॉल्ड गार्डन गॅप्स. जर Purple चे स्पॅश पेज लोड होण्यास अपयशी ठरले, तर तुमचे वॉल्ड गार्डन एंट्रीज तपासा. सामान्यत: याचे कारण गहाळ झालेली CDN डोमेन किंवा सोशल लॉगिन रिडायरेक्ट असते ज्याला व्हाइटलिस्ट केलेले नसते. ऑथेंटिकेशन होण्यापूर्वी कोणत्या DNS क्वेरीज ब्लॉक केल्या जात आहेत हे पाहण्यासाठी MikroTik torch टूल किंवा पॅकेट स्निफरचा वापर करा. दुसरी गोष्ट: RADIUS टाइमआउट विसंगती. MikroTik चे डिफॉल्ट RADIUS टाइमआउट १,१०० मिलिसेकंद असते. जर Purple चे RADIUS सर्व्हर भौगोलिकदृष्ट्या दूर असेल किंवा नेटवर्क पाथमध्ये लॅटन्सी असेल, तर तुम्हाला अधूनमधून ऑथेंटिकेशन अपयशी ठरलेले दिसेल. टाइमआउट ३,००० मिलिसेकंदपर्यंत वाढवा आणि रिझिलियन्ससाठी बॅकअप RADIUS सर्व्हर कॉन्फिगर करा. तिसरी गोष्ट: ब्रिजवर VLAN फिल्टरिंग सक्षम नसणे. RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट तेव्हाच कार्य करते जेव्हा ब्रिज VLAN फिल्टरिंग सक्षम असते. ही RouterOS ची आवश्यकता आहे. जर तुम्हाला सर्व क्लायंट्स RADIUS काय रिटर्न करतो याकडे दुर्लक्ष करून डिफॉल्ट VLAN वर येताना दिसत असतील, तर तुमच्या ब्रिज इंटरफेसवर vlan-filtering=yes सेट केले आहे की नाही हे तपासा. चौथी गोष्ट: CAPsMAN व्हर्जन विसंगती. जर तुम्ही CAPsMAN व्हर्जन २ आणि व्हर्जन ३ मॅनेज्ड ॲक्सेस पॉइंट्सचे मिश्रण चालवत असाल, तर VLAN टॅगिंगचे वर्तन भिन्न असू शकते. डायनॅमिक VLAN वैशिष्ट्ये तैनात करण्यापूर्वी तुमच्या संपूर्ण AP इस्टेटमध्ये CAPsMAN व्हर्जन ३ सह RouterOS ७ वर प्रमाणित करा. एक आर्किटेक्चरल शिफारस: पहिल्या दिवसापासूनच तुमचे गेस्ट, स्टाफ आणि मॅनेजमेंट ट्रॅफिक वेगवेगळ्या VLAN वर चालवा, जरी तुम्ही Purple च्या तिन्ही युज केसेस लगेच वापरत नसलात तरीही. सपाट नेटवर्कवर VLAN सेगमेंटेशन रेट्रोफिट करणे हे सुरुवातीपासूनच ते तयार करण्यापेक्षा खूपच जास्त अडथळा आणणारे ठरते. [रॅपिड-फायर प्रश्न आणि उत्तरे - साधारण १ मिनिट] मी बाह्य RADIUS सर्व्हरऐवजी MikroTik चे अंगभूत युझर मॅनेजर वापरू शकतो का? होय, छोट्या डिप्लॉयमेंट्ससाठी. RouterOS ७ मधील युझर मॅनेजर वायरलेस 802.1X साठी PEAP-MSCHAPv2 ला सपोर्ट करतो आणि Mikrotik-Wireless-VLANID ॲट्रिब्युट रिटर्न करू शकतो. Purple सह प्रोडक्शन डिप्लॉयमेंट्ससाठी, तुम्ही Purple चे होस्ट केलेले RADIUS इन्फ्रास्ट्रक्चर वापराल, जे तुमच्यासाठी आयडेंटिटी प्रोव्हाइडर इंटिग्रेशन आणि सेशन मॅनेजमेंट हाताळते. Purple हे MikroTik CAPsMAN ला सपोर्ट करते का? होय. Purple हे कोणत्याही हार्डवेअरवर चालू शकते (hardware-agnostic). हे इंटिग्रेशन RADIUS आणि हॉटस्पॉट रिडायरेक्ट लेव्हलवर काम करते, त्यामुळे हे स्टँडअलोन MikroTik ॲक्सेस पॉइंट्स आणि CAPsMAN-व्यवस्थापित डिप्लॉयमेंट्स दोन्हींसाठी सारखेच सुसंगत आहे. मला कोणत्या RouterOS व्हर्जनची आवश्यकता आहे? या मार्गदर्शकामध्ये समाविष्ट केलेल्या तिन्ही युज केसेससाठी RouterOS 7.x ची शिफारस केली जाते. वायरलेस RADIUS आणि अपडेटेड युझर मॅनेजरद्वारे डायनॅमिक VLAN असाइनमेंट ही RouterOS 7 ची वैशिष्ट्ये आहेत. RouterOS 6.x हॉटस्पॉट आणि बेसिक RADIUS ऑथेंटिकेशनला सपोर्ट करते पण त्यामध्ये काही वायरलेस VLAN क्षमतांची कमतरता आहे. [सारांश आणि पुढील पायऱ्या - साधारणपणे १ मिनिट] थोडक्यात सांगायचे तर: MikroTik RouterOS तुम्हाला Purple सोबत तीन वेगळे इंटिग्रेशन पॉइंट्स प्रदान करते. Hotspot Gateway अतिथी WiFi रिडायरेक्शन आणि Captive Portal ऑथेंटिकेशन हाताळते. RADIUS सह वायरलेस 802.1X कॉन्फिगरेशन ओळख-आधारित ॲक्सेससह सुरक्षित कर्मचारी WiFi हाताळते. आणि Private PSK सह MAC-आधारित RADIUS ऑथेंटिकेशन निवासी आणि संमिश्र-वापर असणाऱ्या प्रॉपर्टीजसाठी मल्टी-टेनंट नेटवर्क विलगीकरण हाताळते. या तिन्हींमधील समान धागा म्हणजे RADIUS. तुमचे RADIUS क्लायंट कॉन्फिगरेशन योग्य प्रकारे सेट करा - योग्य IP, योग्य शेअर्ड सिक्रेट, योग्य सर्व्हिस टाईप, योग्य टाईमआउट - आणि बाकीच्या गोष्टी आपोआप जुळून येतील. तुमच्या पुढील पायऱ्या: तुमच्या Purple डॅशबोर्डवर लॉग इन करा, व्हेन्यू कॉन्फिगरेशनवर जा, आणि तुमचे RADIUS क्रेडेंशियल मिळवा. त्यानंतर तुमची हॉटस्पॉट प्रोफाइल, तुमचे वायरलेस सिक्युरिटी प्रोफाइल आणि तुमच्या वॉल्ड गार्डन एंट्रीज कॉन्फिगर करण्यासाठी लेखी मार्गदर्शकातील CLI कमांड्स फॉलो करा. तुमच्या संपूर्ण इस्टेटमध्ये रोल आउट करण्यापूर्वी एका सिंगल ॲक्सेस पॉइंटसह याची चाचणी घ्या. जर तुम्ही हे मोठ्या प्रमाणावर डिप्लॉय करत असाल - मल्टिपल साईट्स, शेकडो ॲक्सेस पॉइंट्स - तर Purple ची प्रोफेशनल सर्व्हिसेस टीम या रोलआउटमध्ये मदत करू शकते. Purple जागतिक स्तरावर ८०,००० पेक्षा जास्त लाईव्ह व्हेन्यूजवर चालते, ज्याचा अपटाईम ९९.९९९% आहे आणि ते ISO 27001, GDPR आणि Cyber Essentials प्रमाणित आहे. ऐकल्याबद्दल धन्यवाद. सर्व CLI कमांड्स, RADIUS ॲट्रिब्यूट टेबल्स आणि सविस्तर उदाहरणांसह संपूर्ण लेखी मार्गदर्शकाची लिंक शो नोट्समध्ये दिली आहे.