SonicWall आणि guest WiFi: Purple सोबत captive portal सेटअप

SONICWALL TZ आणि SONICWAVE INTEGRATION WITH PURPLE WIFI Purple WiFi इंटेलिजन्स प्लॅटफॉर्म - तांत्रिक ब्रीफिंग मालिका कालावधी: अंदाजे १० मिनिटे आवाज: UK English, वरिष्ठ सल्लागार टोन - आत्मविश्वासू, संभाषणात्मक, अधिकृत --- विभाग १: ओळख आणि संदर्भ (अंदाजे १ मिनिट) Purple तांत्रिक ब्रीफिंग मालिकेमध्ये आपले स्वागत आहे. आज आम्ही एंटरप्राइझ WiFi क्षेत्रातील अधिक तांत्रिकदृष्ट्या गुंतागुंतीच्या इंटिग्रेशन्सपैकी एक कव्हर करत आहोत: SonicWall TZ फायरवॉल्स आणि SonicWave ॲक्सेस पॉइंट्स, जे गेस्ट ऑथेंटिकेशन, कर्मचारी ॲक्सेस कंट्रोल आणि मल्टि-टेनंट नेटवर्क आयसोलेशनसाठी Purple सोबत तैनात केले आहेत. जर तुम्ही IT सुरक्षा अभियंता असाल किंवा हॉटेल, रिटेल चेन्स, कॉन्फरन्स सेंटर्स किंवा मिश्र-वापर डेव्हलपमेंट्स यांसारख्या ठिकाणांचे व्यवस्थापन करणारे MSP असाल - तर हे ब्रीफिंग तुमच्यासाठी आहे. आम्ही आर्किटेक्चर, कॉन्फिगरेशन स्टेप्स आणि जिथे डिप्लॉयमेंटमध्ये चुका होऊ शकतात अशा गोष्टींवरून त्वरीत पुढे जाणार आहोत. SonicWall ही SMB आणि मिड-मार्केट स्पेसमध्ये एक मजबूत निवड आहे. TZ मालिका फायरवॉल्स मोठ्या प्रमाणावर तैनात केल्या जातात आणि SonicWave APs हे SonicOS आणि वायरलेस नेटवर्क मॅनेजरद्वारे नेटिव्हली इंटिग्रेट होतात. जेव्हा तुम्ही त्यावर Purple जोडता, तेव्हा तुम्हाला ब्रँडेड स्प्लॅश पेजेस, RADIUS-आधारित ऑथेंटिकेशन आणि फर्स्ट-पार्टी डेटा कॅप्चरसह क्लाउड-व्यवस्थापित गेस्ट WiFi लेयर मिळतो - हे सर्व तुमची सध्याची SonicWall इन्फ्रास्ट्रक्चर न बदलता. चला आर्किटेक्चर समजून घेऊया. --- विभाग २: तांत्रिक सखोल विश्लेषण (अंदाजे ५ मिनिटे) येथे कव्हर करण्यासाठी चार वेगळे वापर प्रकरणांचे प्रकार (use cases) आहेत आणि प्रत्येकाचा कॉन्फिगरेशन मार्ग वेगळा आहे. Captive Portal रिडायरेक्शनसह गेस्ट WiFi. वॉल्ड गार्डन (Walled Garden) अपवाद. 802.1X वापरून सुरक्षित स्टाफ WiFi. आणि डायनॅमिक VLAN स्टिअरिंगसह SonicWall Private Pre-Shared Keys - PPSK - वापरून मल्टि-टेनंट आयसोलेशन. चला गेस्ट WiFi आणि SonicWall captive portal ने सुरुवात करूया. SonicOS बाह्य captive portal रिडायरेक्ट्स हाताळण्यासाठी लाइटवेट हॉटस्पॉट मेसेजिंग - LHM - नावाच्या यंत्रणेचा वापर करते. जेव्हा एखादा पाहुणा तुमच्या गेस्ट SSID शी कनेक्ट होतो आणि ब्राउझर उघडतो, तेव्हा SonicWall त्या HTTP विनंतीला अडवते आणि Purple च्या स्प्लॅश पेज URL वर रिडायरेक्ट करते. पाहुणा Purple च्या प्लॅटफॉर्मवर ऑथेंटिकेट करतो - सोशल लॉगिन, ईमेल किंवा क्लिक-थ्रू द्वारे - आणि Purple TCP पोर्ट 4043 वर SonicWall कडे परत LHM ऑथरायझेशन पाठवते. त्यानंतर SonicWall त्या डिव्हाइसच्या MAC ॲड्रेससाठी इंटरनेट ॲक्सेस उघडते. SonicOS 7.x मधील कॉन्फिगरेशन याप्रमाणे काम करते. प्रथम, Object वर जा, नंतर Match Objects, नंतर Zones वर जा. तुमच्या गेस्ट WiFi ला नियुक्त केलेले झोन संपादित करा - सामान्यत: WLAN किंवा सानुकूल झोन. Guest Services अंतर्गत, "Enable Guest Services" आणि "External Guest Authentication" दोन्ही सक्षम करा. नंतर Configure, Guest Services, General वर जा. Client Redirect Protocol ला HTTP वर सेट करा. Purple चा पोर्टल होस्टनेम वेब सर्व्हर पत्ता म्हणून प्रविष्ट करा - म्हणजेच portal.purple.ai. रिडायरेक्ट पाथ तुमच्या ठिकाणाच्या विशिष्ट स्प्लॅश पेज URL वर सेट करा, जी Purple ठिकाणाच्या डॅशबोर्डमध्ये प्रदान करते. पोर्ट 4043 आहे. Auth Pages टॅबवर, लॉगिन URL Purple च्या बाह्य पोर्टल URL वर सेट करा. जर तुम्हाला सेशन समाप्त हाताळायचे असेल तर लॉगआउट URL सेट करा. Advanced टॅबवर, "Allow unauthenticated users to access HTTPS sites" केवळ तेव्हाच सक्षम करा जर तुम्हाला HTTPS-फर्स्ट उपकरणांना सपोर्ट करायचा असेल - परंतु लक्षात ठेवा यामुळे रिडायरेक्ट अंमलबजावणी कमकुवत होते. एकदा सेव्ह केल्यावर, SonicOS स्वयंचलितपणे एक NAT पॉलिसी आणि TCP 4043 ला परवानगी देणारा WAN-to-WAN ऍक्सेस नियम तयार करते. हे ऑटो-जनरेट केलेले नियम डिलीट करू नका. यामुळेच LHM हँडशेक पूर्ण होऊ शकतो. आता, Walled Garden कॉन्फिगरेशन. गेस्टचे प्रमाणीकरण होण्यापूर्वी, स्प्लॅश पेज कार्यरत करण्यासाठी त्यांच्या उपकरणाला विशिष्ट डोमेन्सपर्यंत पोहोचणे आवश्यक आहे. Purple चे प्लॅटफॉर्म स्वतःच्या CDN आणि API एंडपॉइंट्सवर अवलंबून असते. OS कॅप्टिव्ह पोर्टल शोध प्रोब्स - iOS उपकरणांसाठी captive.apple.com, Android साठी connectivitycheck.gstatic.com आणि Windows साठी msftconnecttest.com - हे सर्व व्हाइटलिस्ट केलेले असले पाहिजेत. जर तुम्ही सोशल लॉगिन ऑफर करत असाल तर Google साठी accounts.google.com, oauth2.googleapis.com, apis.google.com आणि gstatic.com जोडा. जर तुम्ही Facebook लॉगिन ऑफर करत असाल तर www.facebook.com, graph.facebook.com, connect.facebook.net आणि fbcdn.net CDN डोमेन जोडा. SonicOS मध्ये, Object, Match Objects, Addresses अंतर्गत हे FQDN ऍड्रेस ऑब्जेक्ट्स म्हणून जोडा. त्यानंतर गेस्ट झोनमध्ये ऍक्सेस नियम तयार करा जे अप्रमाणित उपकरणांना या FQDNs पर्यंत पोहोचण्याची परवानगी देतात. स्टॅटिक IP एंट्रीज ऐवजी डायनॅमिक DNS रिझोल्यूशन वापरा - SonicOS ठराविक अंतराने FQDN ऑब्जेक्ट्स रिझॉल्व्ह करते - कारण CDN IP रेंज बदलल्यास स्टॅटिक IP बदलू शकतात. पुढे, 802.1X सह सुरक्षित स्टाफ WiFi कडे वळूया. येथेच SonicWave APs आणि Purple चे RADIUS सर्वर एकत्र काम करतात. SonicWave AP हे 802.1X एक्सचेंजमध्ये ऑथेंटिकेटर म्हणून काम करते. सप्लिकंट हे स्टाफचे उपकरण असते. Purple चे RADIUS सर्वर हे ऑथेंटिकेशन सर्वर असते. तुम्ही निवडलेली EAP पद्धत तुमच्या आयडेंटिटी प्रोव्हायडरवर अवलंबून असते. जर तुम्ही Microsoft Entra ID किंवा Okta वापरत असाल, तर PEAP-MSCHAPv2 हा सर्वात सामान्य पर्याय आहे कारण तो युझरनेम आणि पासवर्ड क्रेडेंशियल्ससह काम करतो. जर तुम्ही डिव्हाइस सर्टिफिकेट्स लागू केले असतील - जे व्यवस्थापित उपकरणांसाठी शिफारस केलेले पाऊल आहे - तर EAP-TLS वापरा. Wireless Network Manager मध्ये, Policies, Policy Hierarchy वर जा, तुमची AP पॉलिसी निवडा आणि 802.1X टॅबवर क्लिक करा. Purple चे RADIUS सर्वर IP ऍड्रेस एंटर करा - जो तुमच्या Purple व्हेन्यू डॅशबोर्डवर RADIUS सेटिंग्ज सेक्शन अंतर्गत उपलब्ध आहे. शेअर केलेला सिक्रेट कोड Purple द्वारे जनरेट केला जातो आणि दोन्ही बाजूंनी अगदी तंतोतंत जुळला पाहिजे. ऑथेंटिकेशन पोर्ट 1812 आणि अकाउंटिंग पोर्ट 1813 वर सेट करा. EAP सेटिंग्जसाठी, तुमच्या आयडेंटिटी प्रोव्हायडर कॉन्फिगरेशनशी जुळणारी पद्धत निवडा. Purple च्या बाजूने, कर्मचारी प्रमाणीकरणासाठी (staff authentication) एक RADIUS पॉलिसी तयार करा. कर्मचाऱ्यांच्या SSID ला विशिष्ट VLAN शी मॅप करा - उदा. कर्मचाऱ्यांसाठी VLAN 200. Purple चे RADIUS सर्व्हर तीन मानक गुणधर्मांचा (standard attributes) वापर करून VLAN असाइनमेंट रिटर्न करते: Tunnel-Type हा VLAN वर सेट केलेला, Tunnel-Medium-Type हा 802 वर सेट केलेला, आणि Tunnel-Private-Group-ID हा स्ट्रिंग म्हणून VLAN ID वर सेट केलेला - म्हणजे VLAN 200 साठी "200". SonicWall फायरवॉल आणि SonicWave AP या गुणधर्मांचा आदर करतात आणि प्रमाणीकृत केलेल्या कर्मचारी उपकरणाला स्वयंचलितपणे योग्य VLAN मध्ये ठेवतात. आता, सर्वात संरचनात्मकदृष्ट्या रंजक असलेला वापर: PPSK आणि मल्टी-टेनंट आयसोलेशन. Private Pre-Shared Keys तुम्हाला एकच SSID चालवण्यास आणि प्रत्येक भाडेकरू (tenant), रहिवासी किंवा वापरकर्ता गटाला एक युनिक पासफ्रेज असाइन करण्यास अनुमती देतात. जेव्हा एखादे उपकरण विशिष्ट PPSK वापरून कनेक्ट होते, तेव्हा SonicWave AP ती की प्रमाणीकरणासाठी Purple च्या RADIUS सर्व्हरकडे पाठवते. Purple ती की शोधते, संबंधित भाडेकरू किंवा वापरकर्ता गट ओळखते आणि Tunnel-Private-Group-ID गुणधर्माद्वारे योग्य VLAN असाइनमेंट परत पाठवते. त्यानंतर SonicWall त्या उपकरणाला योग्य VLAN मध्ये वळवते - जे त्याच SSID वरील इतर भाडेकरूंपासून पूर्णपणे वेगळे असते. हे प्रत्यक्ष व्यवहारातील Identity-Based Networking आहे. तुम्ही प्रति भाडेकरू SSID व्यवस्थापित करत नाही आहात. तुम्ही प्रति भाडेकरू ओळख (identities) व्यवस्थापित करत आहात. दहा रिटेल युनिट्स असलेल्या मिश्र-वापर विकासामध्ये, संपूर्ण इमारतीमध्ये एकच SSID ब्रॉडकास्ट होतो. प्रत्येक भाडेकरूला स्वतःचे PPSK मिळते. प्रत्येक PPSK एका समर्पित VLAN आणि सबनेटला मॅप करते. भाडेकरू A ची उपकरणे भाडेकरू B चा ट्रॅफिक कधीही पाहू शकत नाहीत, जरी ते समान भौतिक ऍक्सेस पॉईंट्स सामायिक करत असले तरीही. SonicOS मधील PPSK कॉन्फिगरेशनसाठी SSID वर RADIUS-आधारित PPSK मोड आवश्यक आहे. Wireless Network Manager मध्ये, SSID संपादित करा, सुरक्षा मोड PPSK सह WPA2-Enterprise वर सेट करा आणि RADIUS सर्व्हरला Purple कडे निर्देशित करा. Purple केंद्रीयपणे PPSK-to-VLAN मॅपिंग टेबल अधिकृत करते. जेव्हा तुम्ही नवीन भाडेकरू जोडता, तेव्हा तुम्ही Purple मध्ये नवीन PPSK तयार करता, त्याला एक VLAN नियुक्त करता आणि फायरवॉल कॉन्फिगरेशनला स्पर्श न करता तो बदल त्या ठिकाणच्या सर्व SonicWave APs मध्ये प्रसारित होतो. - - - विभाग ३: अंमलबजावणीच्या शिफारसी आणि धोके (अंदाजे २ मिनिटे) मी तुम्हाला अशा तीन गोष्टी सांगतो ज्या SonicWall आणि Purple डिप्लॉयमेंटमध्ये सामान्यतः चुकतात. पहिली: LHM पोर्ट. TCP 4043 हे WAN कडून SonicWall च्या WAN इंटरफेससाठी उघडे असणे आवश्यक आहे. जर तुमचा ISP किंवा अपस्ट्रीम फायरवॉल या पोर्टला ब्लॉक करत असेल, तर LHM ऑथरायझेशन हँडशेक कधीही पूर्ण होत नाही आणि अतिथी प्रमाणीकरणानंतर स्प्लॅश पेजवर अडकून पडतात. त्यांना Purple च्या बाजूने यशस्वी लॉगिन दिसते, परंतु SonicWall ला कधीही ऑथरायझेशन सिग्नल मिळत नाही. गो-लाइव्ह जाण्यापूर्वी बाह्य IP वरून पोर्ट 4043 वर telnet किंवा curl चेक करून याची चाचणी घ्या. दुसरी: FQDN ऑब्जेक्ट रिझोल्यूशन टायमिंग. SonicOS हे बूट होताना आणि त्यानंतर एका कॉन्फिगर करण्यायोग्य अंतराने FQDN ॲड्रेस ऑब्जेक्ट्स रिझॉल्व्ह करते. जर तुम्ही नवीन वॉल्ड गार्डन डोमेन जोडले आणि रिझोल्यूशन अजून रिफ्रेश झाले नसेल, तर अप्रमाणित उपकरणे तिथपर्यंत पोहोचू शकत नाहीत. नवीन FQDN ऑब्जेक्ट्स जोडल्यानंतर मॅन्युअल रिफ्रेश सक्तीने करा, किंवा जास्त ट्रॅफिक असलेल्या डिप्लॉयमेंटमध्ये DNS रिफ्रेश अंतराल ६० सेकंदांवर सेट करा. तिसरे: VLAN सब-इंटरफेस कॉन्फिगरेशन. RADIUS द्वारे डायनॅमिक VLAN असाइनमेंट केवळ तेव्हाच कार्य करते जेव्हा पहिले डिव्हाइस प्रमाणित होण्यापूर्वी लक्ष्यित VLANs SonicWall वर सब-इंटरफेस म्हणून अस्तित्वात असतात. जर RADIUS प्रतिसादाने Tunnel-Private-Group-ID 110 परत केले परंतु VLAN 110 हे SonicWall वर सब-इंटरफेस म्हणून अस्तित्वात नसेल, तर डिव्हाइस एकतर ड्रॉप केले जाते किंवा डीफॉल्ट VLAN वर परत जाते. RADIUS VLAN असाइनमेंट सक्षम करण्यापूर्वी सर्व VLAN सब-इंटरफेस तयार करा आणि त्यांची चाचणी घ्या. अनेक ठिकाणे व्यवस्थापित करणाऱ्या MSPs साठी, Purple चे क्लाउड डॅशबोर्ड तुम्हाला RADIUS पॉलिसी, PPSK टेबल्स आणि स्प्लॅश पेज कॉन्फिगरेशन केंद्रीयपणे व्यवस्थापित करू देते. तुम्ही एकाच इंटरफेसवरून सर्व ठिकाणांवर कॉन्फिगरेशन बदल लागू करू शकता. क्लाउड ओव्हरले दृष्टिकोनाचा हाच कार्यात्मक फायदा आहे - SonicWall हार्डवेअर आहे तिथेच राहते आणि Purple त्यावरील आयडेंटिटी आणि पॉलिसी लेयर हाताळते. - - - विभाग 4: रॅपिड-फायर प्रश्नोत्तरे (अंदाजे 1 मिनिट) नियमितपणे विचारले जाणारे काही प्रश्न. "मी SonicWave APs चा वापर Purple सोबत स्टँडअलोन मोडमध्ये करू शकतो का?" होय, परंतु तुमची काही कार्यक्षमता कमी होते. स्टँडअलोन मोडमध्ये, SonicWave APs त्यांचे स्वतःचे RADIUS कॉन्फिगरेशन स्थानिक पातळीवर व्यवस्थापित करतात. तुम्ही तरीही त्यांना 802.1X साठी Purple च्या RADIUS सर्व्हरकडे निर्देशित करू शकता. परंतु डायनॅमिक VLAN असाइनमेंटसह PPSK साठी, तुम्हाला RADIUS प्रॉक्सी म्हणून SonicWall TZ ची किंवा केंद्रीयपणे AP पॉलिसी व्यवस्थापित करणाऱ्या Wireless Network Manager ची आवश्यकता असते. "Purple हे SonicWave वर WPA3 ला सपोर्ट करते का?" SonicWave वर WPA3 सपोर्ट फर्मवेअर व्हर्जन आणि AP मॉडेलवर अवलंबून असतो. SonicWave 600 सीरीज APs WPA3 ला सपोर्ट करतात. Captive Portal च्या वापरासाठी, Opportunistic Wireless Encryption सह WPA3 हे Purple च्या LHM रीडायरेक्ट फ्लोशी सुसंगत आहे, परंतु मोठ्या प्रमाणावर तैनात करण्यापूर्वी तुमच्या विशिष्ट फर्मवेअर व्हर्जनवर चाचणी घ्या. "स्प्लॅश पेजद्वारे गोळा केलेल्या अतिथींच्या डेटासाठी Purple हे GDPR चे पालन कसे करते?" Purple हे ISO 27001 प्रमाणित, GDPR सुसंगत आणि Cyber Essentials प्रमाणित आहे. कॉन्फिगर करण्यायोग्य ऑप्ट-इन चेकबॉक्ससह स्प्लॅश पेजवर संमती घेतली जाते. Purple तुमच्या डेटा रिटेंशन पॉलिसीनुसार फर्स्ट-पार्टी डेटा संग्रहित करते. अतिथी Purple च्या सेल्फ-सर्व्हिस पोर्टलद्वारे त्यांच्या डेटामध्ये प्रवेश करू शकतात आणि तो हटवू शकतात. "डायनॅमिक VLAN असाइनमेंटसाठी Purple कोणते RADIUS ॲट्रिब्युट्स परत करते?" तीन ॲट्रिब्युट्स: VLAN व्हॅल्यूसह Tunnel-Type, 802 व्हॅल्यूसह Tunnel-Medium-Type, आणि VLAN ID ला स्ट्रिंग म्हणून दर्शवणारे Tunnel-Private-Group-ID. हे SonicOS आणि SonicWave द्वारे समर्थित असलेले मानक RFC 2868 ॲट्रिब्युट्स आहेत. - - - विभाग 5: सारांश आणि पुढील पायऱ्या (अंदाजे 1 मिनिट) थोडक्यात सांगायचे तर. SonicWall TZ फायरवॉल्स आणि SonicWave APs हे दोन मुख्य यंत्रणांद्वारे Purple सोबत समाकलित होतात: अतिथी Captive Portal रीडायरेक्शनसाठी LHM, आणि 802.1X कर्मचारी प्रमाणीकरण आणि PPSK-आधारित मल्टी-टेनंट आयसोलेशनसाठी RADIUS. मुख्य कॉन्फिगरेशन पायऱ्या पुढीलप्रमाणे आहेत: अतिथी झोनवर External Guest Authentication सक्षम करा, पोर्ट 4043 वर Purple पोर्टल URL कॉन्फिगर करा, तुमचे वॉल्ड गार्डन FQDN ऑब्जेक्ट्स तयार करा, Wireless Network Manager मध्ये SonicWave AP पॉलिसीवर RADIUS कॉन्फिगर करा आणि डायनॅमिक VLAN असाइनमेंट सक्षम करण्यापूर्वी SonicWall वर तुमचे VLAN सब-इंटरफेस तयार करा. मल्टि-टेनंट उपयोजनांसाठी, RADIUS-आधारित VLAN स्टीयरिंगसह PPSK हे वापरण्यासाठी सर्वोत्तम आर्किटेक्चर आहे. एक SSID, AP चा एक संच आणि ओळख-आधारित VLAN असाइनमेंटद्वारे पूर्ण भाडेकरू अलगाव. जर तुम्ही नवीन उपयोजनाचे नियोजन करत असाल किंवा सध्याच्या उपयोजनाचे पुनरावलोकन करत असाल, तर Purple ची तांत्रिक टीम ठिकाण-विशिष्ट RADIUS कॉन्फिगरेशन फाइल्स आणि वॉल गार्डन डोमेन लिस्ट प्रदान करू शकते. Purple प्लॅटफॉर्म ८०,००० लाइव्ह ठिकाणांना सपोर्ट करतो आणि २०२४ मध्ये त्याने ४४० दशलक्ष लॉगीन्सवर प्रक्रिया केली आहे - आज आम्ही कव्हर केलेले इंटिग्रेशन पॅटर्न मोठ्या प्रमाणावर सिद्ध झाले आहेत. ऐकल्याबद्दल धन्यवाद. टप्प्याटप्प्याने कॉन्फिगरेशन टेबल्स आणि Mermaid आर्किटेक्चर डायग्रामसह संपूर्ण लिखित मार्गदर्शक Purple वेबसाइटवर उपलब्ध आहे. --- स्क्रिप्ट समाप्त