OpenWrt आणि अतिथी WiFi: Purple सोबत captive portal सेटअप

[0:00 - 1:00] Introduction & Context Purple च्या टेक्निकल ब्रीफिंगमध्ये आपले स्वागत आहे. मी तुमचा होस्ट आहे आणि पुढील दहा मिनिटांत, आम्ही Purple WiFi सह OpenWrt कस्टम फर्मवेअर इंटिग्रेशनचे सखोल विश्लेषण करणार आहोत. जर तुम्ही IT मॅनेजर, नेटवर्क आर्किटेक्ट किंवा हॉस्पिटॅलिटी, रिटेल किंवा पब्लिक-सेक्टर वातावरणात कस्टम फर्मवेअर तैनात करणारे CTO असाल, तर हे ब्रीफिंग तुमच्यासाठी आहे. आम्ही केवळ तांत्रिक सिद्धांतांवर चर्चा न करता CoovaChilli कॉन्फिगर करण्यासाठी, 802.1X सह कर्मचारी नेटवर्क्स सुरक्षित करण्यासाठी आणि Private Pre-Shared Keys चा वापर करून मल्टि-टेनंट वातावरण वेगळे करण्यासाठी अचूक प्लेबुक देणार आहोत. हे का महत्त्वाचे आहे? कारण OpenWrt सारखे कस्टम फर्मवेअर तैनात केल्याने तुम्हाला कमालीची लवचिकता आणि हार्डवेअर स्वातंत्र्य मिळते. परंतु सुव्यवस्थित, ओळख-आधारित ॲक्सेस कंट्रोल लेयरशिवाय, ती लवचिकता सुरक्षिततेची मोठी जोखीम बनते. तुम्हाला फर्स्ट-पार्टी डेटा सुरक्षितपणे कॅप्चर करणे, GDPR अनुपालन लागू करणे आणि तुमच्या ट्रॅफिकचे विश्वासार्हपणे वर्गीकरण करणे आवश्यक आहे. चला तर मग तांत्रिक सखोल विश्लेषणाकडे वळूया. [1:00 - 6:00] Technical Deep-Dive OpenWrt इंटिग्रेशनचा गाभा CoovaChilli वर अवलंबून असतो. CoovaChilli हा ओपन-सोर्स ॲक्सेस कंट्रोलर आहे जो अनऑथेंटिकेटेड क्लायंट ट्रॅफिक अडवतो आणि त्याला Purple च्या Captive Portal कडे रिडायरेक्ट करतो. जेव्हा एखादा पाहुणा तुमच्या ओपन SSID शी जोडला जातो, तेव्हा CoovaChilli गेटकीपर म्हणून काम करतो. तो tun0 इंटरफेसवर चालणाऱ्या स्वतःच्या अंतर्गत DHCP सर्व्हरद्वारे IP ॲड्रेस नियुक्त करतो आणि तुम्ही वॉल्ड गार्डनमध्ये (walled garden) स्पष्टपणे परवानगी दिलेल्या ट्रॅफिकशिवाय इतर सर्व ट्रॅफिक ब्लॉक करतो. जेव्हा पाहुणा ब्राउझ करण्याचा प्रयत्न करतो, तेव्हा CoovaChilli HTTP विनंती अडवतो आणि Purple च्या स्प्लॅश पेजवर रिडायरेक्ट करतो. येथेच वॉल्ड गार्डन कॉन्फिगरेशन महत्त्वपूर्ण ठरते. तुमच्या chilli.conf फाईलमध्ये, तुम्ही HS_UAMDOMAINS पॅरामीटर परिभाषित केले पाहिजे. ही अशा डोमेन्सची कॉमा-सेपरेटेड लिस्ट आहे जिथे पाहुणे ऑथराइज्ड होण्यापूर्वी पोहोचू शकतात. यामध्ये तुम्ही splash.purple.ai, api.purple.ai आणि आम्ही पोर्टल ॲसेट्स देण्यासाठी वापरत असलेले विविध CDN डोमेन्स समाविष्ट करणे आवश्यक आहे. तुम्ही एखादे डोमेन चुकवल्यास, पोर्टल लोड होणार नाही किंवा सोशल लॉगिन बटणे काम करणार नाहीत. हे इतके सोपे आहे. एकदा पाहुण्याने Purple पोर्टलवर ऑथराइज्ड केल्यानंतर, Purple चा क्लाउड RADIUS सर्व्हर UDP पोर्ट 1812 वर CoovaChilli ला परत Access-Accept संदेश पाठवतो. त्यानंतर CoovaChilli MAC ॲड्रेस ऑथराइज करतो, त्या सेशनसाठी फायरवॉलचे नियम उघडतो आणि UDP पोर्ट 1813 वर अकाउंटिंग डेटा पाठवू लागतो. अकाउंटिंग हे पर्यायी नाही. या माध्यमातूनच Purple तुमच्या विश्लेषणात्मक डॅशबोर्डसाठी सेशनचा कालावधी आणि डेटाचा वापर ट्रॅक करते. आता, कर्मचारी WiFi बद्दल बोलूया. तुम्ही कर्मचाऱ्यांसाठी CoovaChilli वापरत नाही. कर्मचारी नेटवर्क्ससाठी, तुम्ही WPA2-Enterprise किंवा WPA3-Enterprise सह hostapd वापरता. हे मानक 802.1X ऑथेंटिकेशन आहे. ॲक्सेस पॉईंट ऑथेंटिकेटर म्हणून काम करतो आणि तुमच्या RADIUS सर्व्हरकडे EAP संदेश फॉरवर्ड करतो. कॉर्पोरेट डिव्हाइसेससाठी, तुम्ही EAP-TLS तैनात केले पाहिजे, जे पासवर्डऐवजी डिजिटल सर्टिफिकेट्स वापरते. यामुळे क्रेडेंशियल चोरीची शक्यता पूर्णपणे नष्ट होते. तुम्ही तुमच्या RADIUS सर्व्हरकडे निर्देश करण्यासाठी hostapd.conf कॉन्फिगर करता आणि RADIUS सर्व्हर त्या विशिष्ट वापरकर्त्यासाठी VLAN असाइनमेंट ठरवतो.हे आपल्याला मॉडर्न OpenWrt डेप्लॉयमेंट्समधील सर्वात शक्तिशाली फीचर्सपैकी एकाकडे घेऊन जाते: Private Pre-Shared Keys, किंवा PPSK. मल्टि-टेनंट एन्व्हायरनमेंटमध्ये - जसे की बिल्ड टू रेंट प्रॉपर्टी किंवा कोवर्किंग स्पेसमध्ये - तुम्हाला पन्नास वेगवेगळे SSIDs ब्रॉडकास्ट करायचे नसतात. यामुळे तुमची एअरटाइम कार्यक्षमता खराब होते. त्याऐवजी, तुम्ही एकच SSID ब्रॉडकास्ट करता. जेव्हा एखादे डिव्हाइस कनेक्ट होते, तेव्हा hostapd मॅक (MAC) ॲड्रेस RADIUS सर्व्हरकडे पाठवतो. RADIUS सर्व्हर टनेल-पासवर्ड (Tunnel-Password) ॲट्रिब्युटचा वापर करून त्या डिव्हाइससाठी एका विशिष्ट पासफ्रेज आणि विशिष्ट VLAN ID सह प्रतिसाद देतो. याचा अर्थ असा की, शॉप A मधील रिटेल स्टाफ सदस्याला VLAN 10 वर पाठवले जाते, तर मुख्य हॉलमधील इव्हेंट उपस्थिताला VLAN 30 वर पाठवले जाते आणि हे सर्व एकाच SSID शी कनेक्ट होतात. हे अत्यंत सोपे आहे, गरजेनुसार वाढवता येणारे आहे आणि अगदी सुरुवातीलाच लीस्ट-प्रिव्हिलेज ॲक्सेस लागू करते. [6:00 - 8:00] अंमलबजावणीच्या शिफारसी आणि संभाव्य चुका चला अंमलबजावणीबद्दल चर्चा करूया. Purple सह OpenWrt डेप्लॉय करताना, तुमची पहिली पायरी नेहमी Purple पोर्टलवरून तुमचे RADIUS क्रेडेंशियल मिळवणे ही असते. तुम्हाला प्रायमरी आणि सेकंडरी RADIUS IP ॲड्रेस, शेअर्ड सिक्रेट आणि पोर्टल URL ची आवश्यकता असते. तुमच्या OpenWrt कॉन्फिगरेशनमध्ये, तुम्ही तुमचा गेस्ट नेटवर्क इंटरफेस - सामान्यतः eth1 किंवा wlan0 - डिफाइन कराल आणि CoovaChilli ला त्याच्याशी बाइंड कराल. तुमच्या chilli.conf मधील HS_RADSECRET हे Purple पोर्टलवरील माहितीशी तंतोतंत जुळत असल्याची खात्री करा. एका सिंगल कॅरेक्टरच्या चुकीमुळे देखील सायलेंट ऑथेंटिकेशन अपयशी ठरू शकते. आम्हाला दिसणारी सर्वात मोठी चूक म्हणजे प्री-ऑथेंटिकेशनची DNS रिझोल्यूशन ही आहे. CoovaChilli हे DNS रिक्वेस्ट्स इंटरसेप्ट करते. जर तुमच्या अपस्ट्रीम फायरवॉलने OpenWrt राऊटरला एक्सटर्नल DNS रिझॉल्व्ह करण्यापासून ब्लॉक केले, तर Captive Portal रीडायरेक्ट अयशस्वी होईल. तुमच्या OpenWrt राऊटरला Google किंवा OpenDNS सारख्या पब्लिक रिझॉल्व्हर्सना अनफेटर्ड DNS ॲक्सेस असल्याची खात्री करा. दुसरी एक सामान्य समस्या म्हणजे iOS आणि Android मध्ये बिल्ट-इन असलेली Captive Portal डिटेक्शन मेकॅनिझम्स. ॲपल डिव्हाइसेस इंटरनेट कनेक्टिव्हिटी तपासण्यासाठी captive.apple.com शी संपर्क साधतात. जर तुम्ही तुमच्या वॉल गार्डनमध्ये (walled garden) captive.apple.com ला व्हाइटलिस्ट केले, तर डिव्हाइसला वाटते की त्याला इंटरनेट ॲक्सेस आहे आणि ते कॅप्टिव्ह नेटवर्क असिस्टंट पॉप अप करणार नाही. जर तुम्हाला ऑटोमॅटिक पॉप-अप हवे असेल, तर ॲपलचे डोमेन्स वॉल गार्डनच्या बाहेर ठेवा. [8:00 - 9:00] रॅपिड-फायर प्रश्नोत्तरे (Q&A) चला एक रॅपिड-फायर प्रश्नोत्तरे घेऊया. प्रश्न एक: मी एकाच OpenWrt ॲक्सेस पॉईंटवर CoovaChilli आणि hostapd 802.1X चालवू शकतो का? होय. तुम्ही तुमच्या गेस्ट SSID इंटरफेसवर CoovaChilli बाइंड करता आणि तुमच्या स्टाफ SSID इंटरफेसवर 802.1X सह hostapd कॉन्फिगर करता. हे दोन्ही स्वतंत्रपणे कार्य करतात. प्रश्न दोन: Purple हे OpenWrt सह डायनॅमिक VLAN असाइनमेंटला सपोर्ट करते का? होय. Purple चे RADIUS सर्व्हर्स टनेल-टाइप (Tunnel-Type), टनेल-मीडियम-टाइप (Tunnel-Medium-Type) आणि टनेल-प्रायव्हेट-ग्रुप-ID (Tunnel-Private-Group-ID) यासह स्टँडर्ड RADIUS ॲट्रिब्युट्स परत करू शकतात, ज्यामुळे OpenWrt ला ऑथेंटिकेटेड युझरला विशिष्ट VLAN वर पाठवण्याची सूचना मिळते.प्रश्न ३: OpenWrt राउटरचे Purple RADIUS सर्व्हरशी असलेले कनेक्शन तुटल्यास काय होते? CoovaChilli नवीन सेशन्स प्रमाणित करण्यात अयशस्वी ठरेल. विद्यमान अधिकृत सेशन्सचा टाईमआऊट संपेपर्यंत ते सक्रिय राहतील. उच्च उपलब्धता सुनिश्चित करण्यासाठी नेहमी दुय्यम Purple RADIUS सर्व्हर कॉन्फिगर करा. [9:00 - 10:00] सारांश आणि पुढील पायऱ्या सारांश सांगायचा तर: OpenWrt एंटरप्राइझ WiFi साठी एक मजबूत, हार्डवेअर-स्वतंत्र प्लॅटफॉर्म प्रदान करते. गेस्ट ऍक्सेससाठी CoovaChilli आणि सुरक्षित कर्मचारी व मल्टि-टेनंट PPSK साठी hostapd एकत्रित करून, तुम्ही एक ओळख-आधारित नेटवर्क तयार करता. Purple हे RADIUS इन्फ्रास्ट्रक्चरची गुंतागुंत सोपी करते, आणि क्लाउड-व्यवस्थापित पोर्टल प्रदान करते जे फर्स्ट-पार्टी डेटा गोळा करते आणि अनुपालन सुनिश्चित करते. तुमची पुढील पायरी म्हणजे तुमच्या सध्याच्या कस्टम फर्मवेअर डिप्लॉयमेंट्सचे ऑडिट करणे. तुमचे walled gardens पूर्णपणे सेट असल्याची खात्री करा, तुमचे RADIUS अकाउंटिंग इंटरव्हल्स सत्यापित करा, आणि सामायिक PSKs कडून डायनॅमिक PPSK विभाजनामध्ये स्थलांतर करण्याचे नियोजन सुरू करा. Purple टेक्निकल ब्रीफिंग ऐकल्याबद्दल धन्यवाद. Purple तुमच्या गेस्ट WiFi ला कसे सुरक्षित आणि मॉनेटाइज करू शकते याबद्दल अधिक जाणून घेण्यासाठी, purple.ai ला भेट द्या. पुन्हा भेटूया.