Zum Hauptinhalt springen
Deutsch

Lösung des Fehlers „Verbunden, aber kein Internet“ im Guest WiFi

Dieser maßgebliche technische Leitfaden erklärt, wie DNS-Timeouts durch überlastete Netzwerke den Fehler „Verbunden, kein Internet“ im Guest WiFi verursachen. Er bietet Netzwerkarchitekten und IT-Managern praxisnahe Implementierungsschritte für die Bereitstellung von Enterprise-DNS-Filtern, um diese Engpässe zu beheben und das Onboarding von Gästen zu verbessern.

📖 5 Min. Lesezeit📝 1,103 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Behebung des Fehlers „Verbunden, aber kein Internet“ im Gäste-WiFi — Ein technisches Briefing von Purple [EINFÜHRUNG & KONTEXT — ca. 1 Minute] Willkommen zur Purple Technical Briefing-Serie. Ich bin Ihr Gastgeber, und heute befassen wir uns mit einem der hartnäckigsten und frustrierendsten Probleme im Bereich der Netzwerke für Unternehmensstandorte: dem Fehler „verbunden, kein Internet“ im Gäste-WiFi. Wenn Sie die WiFi-Infrastruktur in einem Hotel, einer Einzelhandelskette, einem Stadion oder einem Konferenzzentrum verwalten, haben Sie das sicher schon erlebt. Das Gerät eines Gastes zeigt vollen Signalempfang, ist mit Ihrem Access Point verbunden und hat eine IP-Adresse zugewiesen bekommen – und dennoch lädt der Browser nichts. Das Captive Portal wird nie geladen. Der Gast ruft an der Rezeption an. Ihr Support-Team führt einen Ping-Test durch, auf dem Papier sieht alles bestens aus, und dennoch tritt das Problem immer wieder auf. Der Punkt ist folgender: In der überwiegenden Mehrheit der Fälle, die mir bei Implementierungen in Unternehmen begegnen, handelt es sich weder um einen Hardwarefehler noch um eine Fehlkonfiguration der Firewall und auch nicht um ein Bandbreitenproblem im herkömmlichen Sinne. Es handelt sich um ein DNS-Timing-Problem – und dieses wird fast immer durch eine Netzwerküberlastung verursacht. Heute möchte ich Ihnen genau erklären, warum das passiert, wie Sie es zuverlässig diagnostizieren und wie der Einsatz eines DNS-Filters für Unternehmen diesen Engpass dauerhaft beseitigt. [TECHNISCHER DEEP-DIVE — ca. 5 Minuten] Beginnen wir mit den Grundlagen. Wenn sich das Gerät eines Gastes mit Ihrem WiFi-Netzwerk verbindet, muss es als allererstes – noch bevor es eine einzige Webseite laden kann, bevor Ihr Captive Portal es umleiten kann, bevor eine Authentifizierung stattfinden kann – einen Domainnamen über DNS in eine IP-Adresse auflösen. Das Domain Name System ist das Telefonbuch des Internets. Ohne dieses weiß Ihr Gerät nicht, wohin es den Datenverkehr senden soll. Und hier beginnt das Problem. Die meisten Endgeräte – iPhones, Android-Handys, Windows-Laptops – verfügen über einen integrierten Mechanismus, den sogenannten Captive Portal Detection Probe. Unter iOS sendet das Gerät beispielsweise eine HTTP-Anfrage an einen bekannten Apple-Endpunkt wie captive.apple.com. Unter Android steuert es connectivitycheck.gstatic.com an. Unter Windows prüft es msftconnecttest.com. Diese Abfragen dienen dazu, zu erkennen, ob das Netzwerk eine Anmeldeseite erfordert, bevor der Internetzugang gewährt wird. Der entscheidende Punkt ist: Diese Abfragen sind DNS-abhängig. Das Gerät muss zuerst den Domainnamen des Abfrage-Endpunkts auflösen, bevor es die HTTP-Anfrage senden kann. Und diese DNS-Abfrage hat ein Zeitlimit (Timeout) – je nach Betriebssystem liegt dieses normalerweise zwischen einer und fünf Sekunden. Wenn der DNS-Resolver in Ihrem Netzwerk nicht innerhalb dieses Zeitfensters antwortet, kommt das Gerät zu dem Schluss, dass das Netzwerk keine Internetverbindung hat, obwohl es vollständig verbunden ist und über eine gültige IP-Adresse verfügt. Das ist der Fehler "Verbunden, kein Internet". Es handelt sich dabei nicht um einen Verbindungsfehler – es ist ein Fehler bei der DNS-Antwort. Warum also versagt DNS in einem überlasteten Netzwerk? Das ist der Punkt, an dem viele Teams scheitern. DNS-Anfragen werden standardmäßig über UDP auf Port 53 gesendet. UDP ist ein verbindungsloses Protokoll – es gibt keinen Handshake, keine Bestätigung und keine erneute Übertragung auf der Transportschicht. Wenn ein DNS-Paket aufgrund von Netzwerküberlastung verworfen wird, wartet der Client einfach, bis das Timeout abläuft, und versucht es dann erneut oder gibt auf. In einem Gäste-WiFi-Netzwerk mit Hunderten oder Tausenden von gleichzeitigen Geräten – man denke an ein Stadion während eines Spiels, ein voll belegtes Hotel oder ein Konferenzzentrum während einer Keynote – können der Upstream-Link und der DNS-Resolver sehr schnell überlastet sein. Das Problem wird dadurch verschlimmert, dass sich Gäste-Netzwerke in der Regel einen einzigen Upstream-DNS-Resolver teilen, oft den Standard-Resolver des ISPs oder einen öffentlichen Resolver wie 8.8.8.8. Wenn jedes Gerät im Netzwerk gleichzeitig nach der Captive Portal-Erkennung sucht, Hintergrund-App-Updates ausführt und DNS-Anfragen für soziale Medien und Streaming-Dienste stellt, wird dieser einzelne Resolver zum Nadelöhr. Die Antwortzeiten für Anfragen steigen vom normalen Bereich unter 50 Millisekunden auf Hunderte oder sogar Tausende von Millisekunden. Es kommt zu Timeouts. Die Fehlermeldungen „Verbunden, kein Internet“ häufen sich. Es gibt noch einen zweiten Mechanismus, den man verstehen sollte: die TTL-Erschöpfung. DNS-Antworten enthalten einen „Time To Live“-Wert, der dem empfangenden Gerät mitteilt, wie lange die aufgelöste IP-Adresse zwischengespeichert werden soll. In einem überlasteten Netzwerk, in dem sich Geräte ständig an- und abmelden – was in Umgebungen mit hoher Dichte üblich ist –, laufen die zwischengespeicherten Einträge ab und müssen häufig neu aufgelöst werden. Dies erhöht die DNS-Anfragelast auf dem Resolver genau dann, wenn das Netzwerk am stärksten belastet ist. Die traditionelle Reaktion auf dieses Problem besteht nun darin, Bandbreite bereitzustellen – den Upstream-Link aufzurüsten, mehr Access Points hinzuzufügen und QoS-Richtlinien zu implementieren. Dies sind alles sinnvolle Maßnahmen, aber sie beheben nicht die Ursache. Die Ursache liegt darin, dass Ihr DNS-Auflösungspfad für Gästeumgebungen mit hoher Dichte nicht optimiert ist. Und genau das löst ein Enterprise-DNS-Filter. Ein Enterprise-DNS-Filter – wie die DNS-Filterfunktion innerhalb der Gäste-WiFi-Plattform von Purple – fungiert als lokaler, leistungsstarker DNS-Resolver, der zwischen Ihren Gästegeräten und dem Upstream-Internet sitzt. Anstatt jede Anfrage an einen entfernten öffentlichen Resolver weiterzuleiten, hält er einen lokalen Cache häufig aufgelöster Domains vor, verarbeitet Erkennungsanfragen für das Captive Portal nativ und wendet richtlinienbasierte Filterung an, um schädliche oder nicht konforme Domains zu blockieren, bevor sie überhaupt den Upstream-Resolver erreichen. Das Ergebnis ist eine drastisch reduzierte DNS-Anfragelatenz – in der Regel von Timeouts von zwei bis drei Sekunden auf Antworten unter 200 Millisekunden –, was bedeutet, dass Erkennungsanfragen für das Captive Portal beim ersten Versuch erfolgreich sind, der Fehler „Verbunden, kein Internet“ verschwindet und die Onboarding-Zeit für Gäste erheblich sinkt. Aus Sicht der Standards entspricht diese Architektur den Empfehlungen von IEEE 802.11 für High-Density-Bereitstellungen und unterstützt die Einhaltung der DSGVO-Datenschutzanforderungen (GDPR), indem DNS-Abfragen protokolliert und überprüft werden können – was besonders relevant ist, wenn Sie unter einer Lizenz für den öffentlichen Sektor oder das Gastgewerbe arbeiten. Zudem werden die Netzwerksegmentierungsanforderungen nach PCI DSS unterstützt, da sichergestellt wird, dass der Gast-DNS-Verkehr von Ihrer internen Resolver-Infrastruktur isoliert bleibt. [IMPLEMENTIERUNGSEMPFEHLUNGEN & PHÄNOMENE — ca. 2 Minuten] Lassen Sie mich Ihnen praktische Richtlinien für die Bereitstellung an die Hand geben. Wenn Sie einen Enterprise-DNS-Filter in einem Gast-WiFi-Netzwerk einführen, entscheiden drei Konfigurationsentscheidungen über Erfolg oder Misserfolg. Erstens: Die Platzierung des Resolvers. Ihr DNS-Filter muss so nah wie möglich am Gästenetzwerk platziert werden – idealerweise im selben VLAN oder Subnetz wie Ihre Gast-Access-Points. Jeder Hop zwischen dem Gastgerät und dem Resolver erhöht die Latenz. Wenn sich Ihr DNS-Filter in einem entfernten Rechenzentrum befindet und Ihr Gästenetzwerk in einem Hotel in Manchester ist, erhöht dies die Roundtrip-Zeit, was den Zweck hinfällig macht. Nutzen Sie eine lokale Appliance oder einen Cloud-basierten DNS-Filter mit einem regionalen Point of Presence. Zweitens: DNS-Passthrough für das Captive Portal. Dies ist die häufigste Fehlkonfiguration, die mir begegnet. Wenn Sie einen DNS-Filter einrichten, müssen Sie sicherstellen, dass die eigene Domain des Captive Portals – die URL, auf die Gäste zur Authentifizierung weitergeleitet werden – im Filter auf der Whitelist steht. Wenn der Filter die Auflösung Ihrer Captive Portal-Domain blockiert oder verzögert, erzeugen Sie genau das Problem, das Sie eigentlich lösen wollten. Testen Sie die Auflösung des Captive Portals nach dem Einrichten jeder DNS-Filterrichtlinie immer explizit. Drittens: TTL-Tuning. Konfigurieren Sie Ihren lokalen DNS-Resolver so, dass er kurze TTLs für die Probe-Domains zur Erkennung von Captive Portals (Apple, Google, Microsoft) bereitstellt. Dadurch fragen die Geräte häufiger an und erhalten immer eine schnelle lokale Antwort, anstatt auf das Ablaufen eines zwischengespeicherten Eintrags zu warten und dann auf einen überlasteten Upstream-Resolver zuzugreifen. Eine TTL von 30 bis 60 Sekunden für diese spezifischen Domains ist ein sinnvoller Ausgangspunkt. Die zu vermeidende Falle ist das Überfiltern. Einige Teams setzen aggressive DNS-Blocklisten ein, die unbeabsichtigt Domains blockieren, die von legitimen Gastanwendungen genutzt werden – Streaming-Dienste, VPN-Endpunkte von Unternehmen, Cloud-Speicher. Dies erzeugt eine andere Art von Support-Ticket, schadet der Gasterfahrung jedoch gleichermaßen. Beginnen Sie mit einer konservativen Richtlinie, überwachen Sie die DNS-Abfrageprotokolle auf blockierte Domains und verfeinern Sie diese über einen Zeitraum von zwei Wochen, bevor Sie die Konfiguration endgültig sperren. [SCHNELLE FRAGEN & ANTWORTEN — ca. 1 Minute] Lassen Sie mich die Fragen durchgehen, die mir zu diesem Thema am häufigsten gestellt werden. "Kann ich nicht einfach 8.8.8.8 als meinen Gast-DNS-Resolver verwenden?" Das können Sie, aber unter Last wird es zu Timeouts kommen. Ein lokaler oder regionaler Resolver wird auf einem überlasteten Netzwerk immer eine bessere Leistung erbringen als ein öffentlicher Resolver. "Betrifft dies WPA3-Bereitstellungen?" Nein – WPA3 verbessert die Authentifizierungssicherheit, ändert jedoch nichts am DNS-Auflösungspfad. Das gleiche DNS-Timeout-Problem tritt unabhängig vom verwendeten Verschlüsselungsstandard auf. "Wie finde ich heraus, ob DNS die tatsächliche Ursache für meine Fehler \"verbunden, kein Internet\" ist?" Führen Sie während der Spitzenlast eine Paketaufzeichnung auf dem Gast-VLAN durch. Filtern Sie nach Datenverkehr auf UDP-Port 53. Wenn Sie DNS-Abfragen ohne entsprechende Antwort innerhalb von zwei Sekunden sehen, ist das DNS-Timeout die Ursache. "Hilft ein Enterprise-DNS-Filter bei der Compliance?" Ja – die Protokollierung von DNS-Abfragen bietet einen Audit-Trail, der die GDPR-Rechenschaftspflichten unterstützt und bei der Reaktion auf Vorfälle helfen kann. Die Plattform von Purple enthält diese Protokollierung nativ. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — ca. 1 Minute] Zusammenfassend lässt sich sagen: Der Fehler \"verbunden, kein Internet\" bei Gast-WiFi ist in den allermeisten Fällen ein DNS-Timing-Problem, das durch Netzwerküberlastung verursacht wird, die einen nicht optimierten Resolver-Pfad überfordert. Die Lösung ist nicht mehr Bandbreite – es ist ein lokaler, leistungsstarker Enterprise-DNS-Filter, der Captive Portal-Erkennungstests schnell auflöst, einen lokalen Cache pflegt und richtlinienbasierte Filterung anwendet, um die Last der Upstream-Abfragen zu reduzieren. Die drei wichtigsten Aufgaben für diese Woche: Führen Sie während der Spitzenlast eine DNS-Paketaufzeichnung durch, um die Diagnose zu bestätigen; überprüfen Sie die Platzierung Ihres aktuellen DNS-Resolvers und stellen Sie fest, ob dieser lokal oder remote ist; und evaluieren Sie die Bereitstellung eines Enterprise-DNS-Filters in Ihrem Gast-VLAN. Wenn Sie tiefer in dieses Thema einsteigen möchten, beschreibt die Dokumentation der Purple-Plattform die DNS-Filterkonfiguration im Detail, und die Leitfäden zur Gast-WiFi-Optimierung auf purple.ai sind neben diesem Briefing ebenfalls einen Blick wert. Vielen Dank fürs Zuhören – bis zum nächsten Mal. [ENDE DER EPISODE]

header_image.png

Executive Summary

For CTOs and network architects overseeing high-density venues—such as those in Retail , Hospitality , Healthcare , and Transport —the "Connected, No Internet" error on Guest WiFi networks is a persistent operational headache. While often misdiagnosed as an AP hardware fault or insufficient upstream bandwidth, the root cause in enterprise environments is typically DNS timeout caused by network congestion.

When hundreds of devices concurrently probe for captive portal detection (e.g., captive.apple.com), the default UDP port 53 queries can overwhelm standard upstream resolvers. If the DNS response exceeds the OS-level timeout window (typically 1-5 seconds), the device assumes no internet connectivity exists, failing to trigger the captive portal. This guide details the technical architecture of this failure mode and demonstrates how deploying an enterprise DNS filter resolves the bottleneck, reducing query latency from thousands of milliseconds to sub-200ms, ensuring compliance with standards like IEEE 802.1X and GDPR, and dramatically improving the guest onboarding experience.

Technical Deep-Dive

The Captive Portal Detection Mechanism

When a client device associates with an access point and receives a DHCP lease, it must verify internet reachability before fully transitioning to a connected state. This is achieved via captive portal detection probes:

  • iOS/macOS: HTTP GET to captive.apple.com
  • Android: HTTP GET to connectivitycheck.gstatic.com
  • Windows: HTTP GET to msftconnecttest.com

Before the HTTP GET can be issued, the device must resolve the hostname via DNS. This initial DNS query is the critical failure point in high-density environments.

dns_flow_diagram.png

Why Congestion Triggers DNS Timeouts

DNS queries typically use UDP, a connectionless protocol without transport-layer retransmission. In a congested network—such as a stadium during half-time or a hotel during morning peak hours—UDP packets are easily dropped or delayed.

If the venue relies on a standard ISP resolver or a public DNS service (like 8.8.8.8), the round-trip time (RTT) plus the processing time at the resolver can exceed the OS's hardcoded timeout limit. When the timeout expires, the device flags the connection as "Connected, No Internet" and halts the captive portal redirection process.

Furthermore, short Time-To-Live (TTL) values on these probe domains exacerbate the issue. As devices constantly associate and disassociate, cached entries expire rapidly, triggering a flood of simultaneous DNS queries precisely when the network is under maximum load.

The Role of the Enterprise DNS Filter

An enterprise DNS filter, such as the one integrated into Purple's WiFi Analytics platform, acts as a high-performance, local or edge-proximate resolver. By intercepting DNS queries before they traverse the congested WAN link, the filter:

  1. Caches High-Frequency Domains: Serves probe domains locally, reducing RTT to sub-millisecond levels.
  2. Policy Enforcement: Drops queries for malicious or blocked domains immediately, conserving WAN bandwidth.
  3. Audit Logging: Provides an audit trail for IT Security , aiding in GDPR compliance and incident response.

venue_comparison_chart.png

Implementation Guide

Deploying an enterprise DNS filter requires careful architectural planning to avoid introducing new points of failure.

1. Resolver Placement and Latency Optimization

Deploy the DNS filter as close to the network edge as possible. For distributed retail chains, a cloud-delivered edge node is appropriate; for large single-site venues like stadiums, a localized appliance or virtual machine on the core switch is preferred. The goal is to minimize the number of routing hops between the guest VLAN and the resolver.

2. Captive Portal Whitelisting (Passthrough)

The most critical configuration step is ensuring your captive portal domain is explicitly whitelisted. If the DNS filter delays or blocks the resolution of the authentication portal itself, you will induce the exact error you are attempting to solve.

3. TTL Tuning and Cache Management

Configure the local resolver to aggressively cache captive portal probe domains. While respecting upstream TTLs is standard practice, overriding TTLs for captive.apple.com and similar domains to a minimum of 60 seconds locally can drastically reduce upstream query volume during peak association events.

4. Integration with Existing Infrastructure

Ensure the DNS filter deployment aligns with your existing network segmentation. Guest DNS traffic must remain isolated from corporate DNS infrastructure to maintain PCI DSS compliance. This isolation is crucial whether you are optimising hotel WiFi for business travelers or securing a public sector deployment.

Listen to our technical briefing podcast for more context on these implementation steps:

Best Practices

  • Avoid Public Resolvers for Guest Networks: Relying on 8.8.8.8 or 1.1.1.1 as the primary DHCP-assigned DNS for high-density guest networks introduces unacceptable latency variability.
  • Implement DNS over HTTPS (DoH) Carefully: While DoH improves privacy, it bypasses traditional port 53 filtering. Ensure your enterprise DNS solution can inspect or manage DoH traffic if required by venue policy.
  • Monitor UDP Port 53 Drops: Configure your firewall or core switch to alert on excessive UDP port 53 packet drops, which is a leading indicator of impending DNS timeouts.
  • Regularly Review Blocklists: Over-aggressive filtering can break legitimate applications. Review DNS query logs weekly to identify false positives.

For public sector deployments, ensuring robust connectivity is part of broader digital inclusion initiatives, as recently highlighted when Purple Appoints Iain Fox as VP Growth – Public Sector .

Troubleshooting & Risk Mitigation

When the "Connected, No Internet" error occurs, IT teams should follow a structured diagnostic path rather than immediately assuming bandwidth exhaustion.

  1. Packet Capture (PCAP): Run a packet capture on the guest VLAN filtering for udp port 53. Look for queries without corresponding responses within a 2-second window.
  2. Simulate the Probe: Use curl or wget from a test device on the guest VLAN to manually hit http://captive.apple.com/hotspot-detect.html. Measure the DNS resolution time versus the HTTP response time.
  3. Check Firewall Rules: Verify that no rate-limiting or QoS policies are inadvertently throttling UDP port 53 traffic from the guest subnet.
  4. Verify Offline Capabilities: In environments with intermittent WAN connectivity, consider features like Purple's Offline Maps Mode to maintain some level of user engagement even when upstream internet is degraded.

ROI & Business Impact

Resolving DNS timeouts directly impacts the bottom line for venue operators.

  • Reduced Support Overhead: The "Connected, No Internet" error is a primary driver of Level 1 support tickets in hospitality and retail. Eliminating it reduces IT operational expenditure.
  • Increased Data Capture: A failed captive portal load means a lost opportunity for data capture and user authentication. By ensuring rapid portal rendering, venues maximize the ROI of their WiFi Analytics platforms.
  • Enhanced Guest Satisfaction: Seamless connectivity is a baseline expectation. Minimizing onboarding friction directly correlates with improved Net Promoter Scores (NPS) and positive venue reviews.

By shifting the perspective from "we need more bandwidth" to "we need optimized DNS resolution," network architects can deliver enterprise-grade guest WiFi that scales gracefully under pressure.

Schlüsseldefinitionen

Captive Portal Detection Probe

Ein automatischer HTTP-Request, der unmittelbar nach dem Verbinden mit dem Netzwerk von einem mobilen Betriebssystem (z. B. an captive.apple.com) gesendet wird, um festzustellen, ob eine Captive Portal Anmeldeseite erforderlich ist.

Wenn dieser Probe-Request aufgrund eines DNS-Timeouts fehlschlägt, nimmt das Betriebssystem an, dass kein Internetzugang besteht und zeigt den Fehler an.

DNS-Timeout

Das Ereignis, bei dem ein Client-Gerät eine DNS-Abfrage abbricht, weil der Resolver zu lange für eine Antwort benötigt hat (typischerweise >2-5 Sekunden).

Die primäre technische Ursache für "Verbunden, kein Internet"-Fehler in Umgebungen mit hoher Dichte.

Enterprise-DNS-Filter

Ein dedizierter DNS-Resolver, der Abfragen lokal zwischenspeichert und richtlinienbasiertes Blockieren anwendet, um den Zugriff auf bösartige oder unerwünschte Domains zu verhindern.

Wird verwendet, um das Abfragevolumen von überlasteten Upstream-Resolvern zu entlasten und die Latenz zu verringern.

UDP-Port 53

Das standardmäßige verbindunglose Transportprotokoll und der Port, die für DNS-Abfragen verwendet werden.

Da UDP keine garantierte Zustellung bietet, können DNS-Pakete bei Netzwerküberlastung leicht verloren gehen.

Time-To-Live (TTL)

Ein Wert in einem DNS-Eintrag, der bestimmt, wie lange ein Resolver oder Client die IP-Adresse zwischenspeichern soll, bevor eine erneute Abfrage erfolgt.

Kurze TTLs bei Probe-Domains führen zu häufigen erneuten Abfragen, was die Überlastung verschlimmert.

IEEE 802.1X

Ein Standard für portbasierte Netzwerksicherheitskontrolle (PNAC), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Obwohl sicher, sind 802.1X-Umgebungen nach der Authentifizierung weiterhin auf eine robuste DNS-Infrastruktur für das Routing angewiesen.

Local Internet Breakout

Das direkte Routing von internetgerichtetem Datenverkehr von einer Filiale ins Internet, anstatt ihn über ein zentrales Rechenzentrum umzuleiten.

Entscheidend für die Reduzierung der DNS-Latenz in verteilten Einzelhandels- oder Hospitality-Netzwerken.

WPA3

Der neueste Wi-Fi-Sicherheitsstandard, der eine verbesserte Verschlüsselung für offene und passwortgeschützte Netzwerke bietet.

WPA3 verbessert die Sicherheit, ändert jedoch nicht den grundlegenden DNS-Auflösungspfad und behebt keine Timeout-Probleme.

Ausgearbeitete Beispiele

Ein Hotel mit 400 Zimmern verzeichnet jeden Morgen zwischen 7:30 Uhr und 8:30 Uhr eine Häufung von Beschwerden über den Fehler „Verbunden, kein Internet“, wenn Gäste aufwachen und sich mit dem WiFi verbinden. Die 1-Gbit/s-WAN-Verbindung zeigt in dieser Zeit nur eine Auslastung von 40 %.

  1. Führen Sie eine Paketerfassung im Guest-VLAN durch, gefiltert nach UDP-Port 53 während der morgendlichen Hauptverkehrszeit.
  2. Stellen Sie fest, dass die Auflösung von DNS-Abfragen an Captive Portal-Probe-Domains (z. B. captive.apple.com) über den Standard-DNS des Internetanbieters >3000 ms dauert.
  3. Stellen Sie einen lokalen Enterprise-DNS-Filter im Guest-Subnetz bereit.
  4. Konfigurieren Sie den DHCP-Server so, dass er die IP des lokalen DNS-Filters an die Guest-Geräte zuweist.
  5. Setzen Sie die Captive Portal-Domain des Hotels im Filter auf die Whitelist.
  6. Überwachen Sie die Auflösungszeiten, die auf <50 ms sinken sollten.
Kommentar des Prüfers: Dieser Ansatz erkennt richtig, dass die Bandbreite nicht das Problem ist (nur zu 40 % ausgelastet). Durch die Verlagerung der DNS-Auflösung an den Edge umgeht das Hotel den überlasteten Resolver-Pfad des Internetanbieters und stellt sicher, dass Captive Portal-Probes sofort erfolgreich sind.

Eine große Einzelhandelskette führt ein neues Guest WiFi-Netzwerk in 50 Filialen ein, aber Benutzer in stark frequentierten Flagship-Stores können das Captive Portal nicht laden, während Benutzer in kleineren Filialen keine Probleme haben.

  1. Analysieren Sie die Architektur: Alle 50 Filialen tunneln den Guest-Traffic zurück zu einer zentralen Rechenzentrum-Firewall, die dann DNS-Abfragen an einen öffentlichen Resolver weiterleitet.
  2. In stark frequentierten Filialen erschöpft die schiere Menge an gleichzeitigen Verbindungsereignissen die NAT/PAT-Zustandstabellen auf der zentralen Firewall, was dazu führt, dass UDP-Port-53-Pakete verworfen werden.
  3. Implementieren Sie einen cloudbasierten Enterprise-DNS-Filter.
  4. Konfigurieren Sie die lokalen Filial-Router neu, um Guest-DNS-Abfragen direkt über den lokalen Internet-Breakout an den Cloud-Filter weiterzuleiten, anstatt sie zurück zum Rechenzentrum zu leiten.
Kommentar des Prüfers: Das Zurückleiten des Guest-DNS-Traffics an einen zentralen Hub führt zu unnötiger Latenz und birgt das Risiko einer Erschöpfung der Zustandstabellen. Ein lokaler Internet-Breakout für DNS in Kombination mit einem cloudbasierten Filter lässt sich für verteilte Einzelhandelsumgebungen weitaus besser skalieren.

Übungsfragen

Q1. Ein IT-Direktor eines Stadions stellt fest, dass sich in der Halbzeitpause Tausende von Nutzern mit dem WiFi verbinden, aber das Captive Portal nicht erreichen. Der Core-Switch meldet hohe Raten verworfener UDP-Pakete. Sollte die WAN-Bandbreite von 2 Gbps auf 5 Gbps erhöht werden?

Hinweis: Überlegen Sie, welches Protokoll verworfen wird und ob dies mit der Payload-Bandbreite oder den Grenzwerten für Verbindungszustände zusammenhängt.

Musterlösung anzeigen

Nein. Eine Erhöhung der WAN-Bandbreite wird das Problem nicht lösen. Die verworfenen UDP-Pakete weisen darauf hin, dass die Firewall oder der Resolver das enorme Volumen gleichzeitiger DNS-Anfragen nicht verarbeiten kann (Erschöpfung der State-Table oder CPU-Grenzwerte). Der richtige Ansatz ist die Implementierung eines hochleistungsfähigen lokalen DNS-Filters direkt am Edge, um diese Anfragen lokal zu cachen und zu beantworten, wodurch der WAN-Engpass vollständig umgangen wird.

Q2. Sie haben gerade einen DNS-Filter der Enterprise-Klasse in einem Hotel-Gästenetzwerk implementiert. Gäste können öffentliche Websites schnell auflösen, aber beim ersten Verbindungsaufbau werden sie nicht auf die Login-Seite des Hotels weitergeleitet. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Denken Sie an den Domainnamen der Login-Seite selbst.

Musterlösung anzeigen

Der wahrscheinlichste Fehler ist, dass die eigene Domain des Captive Portals im DNS-Filter nicht explizit auf die Whitelist (Passthrough) gesetzt wurde. Der Filter blockiert oder verzögert die Auflösung der Portal-URL, was den Abschluss der Weiterleitung verhindert.

Q3. Eine Organisation des öffentlichen Sektors verlangt, dass der gesamte WiFi-Gästeverkehr 90 Tage lang protokolliert wird, um Sicherheitsrichtlinien zu erfüllen. Wie unterstützt der Einsatz eines Enterprise-DNS-Filters diese Anforderung?

Hinweis: Überlegen Sie, welche Daten ein DNS-Filter im Vergleich zu einer Standard-Firewall verarbeitet.

Musterlösung anzeigen

Ein Enterprise-DNS-Filter protokolliert nativ alle von Client-Geräten gestellten DNS-Anfragen. Dies liefert einen klaren, durchsuchbaren Audit-Trail darüber, welche Domains wann angefordert wurden, und erfüllt die 90-tägige Protokollierungspflicht, ohne dass eine Deep Packet Inspection des gesamten verschlüsselten HTTPS-Payload-Verkehrs erforderlich ist.

Weiterlesen in dieser Reihe

Fehlerbehebung bei öffentlichem WiFi: Behebung von „Verbunden, kein Internet“ und Fehlern bei der Splash-Page-Weiterleitung

Dieser maßgebliche technische Leitfaden erklärt die grundlegenden Mechanismen der Erkennung von Captive Portals und beschreibt detailliert die sechs primären Fehlermodi, die eine Verbindung mit dem Gäste-WiFi verhindern. Er bietet IT-Managern und Netzwerkarchitekten ein praktisches Framework zur Fehlerbehebung bei HTTP-Weiterleitungsproblemen, DNS-Konflikten und Herausforderungen bei der MAC-Randomisierung.

Leitfaden lesen →

Top 10 Ursachen für DHCP-Timeouts in High-Density Wireless Networks

Dieser maßgebliche technische Leitfaden identifiziert die zehn Hauptursachen für DHCP-Timeouts in High-Density Wireless Networks und bietet praxisnahe, herstellerneutrale Lösungsstrategien. Entwickelt für IT-Leiter, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten, deckt er tiefgehende technische Prinzipien, schrittweise Implementierungs-Workflows und messbare Geschäftsergebnisse ab. Erfahren Sie, wie Sie Verbindungsengpässe beseitigen und Ihre Wireless-Infrastruktur optimieren, um eine nahtlose Konnektivität in anspruchsvollen Enterprise-Umgebungen zu gewährleisten.

Leitfaden lesen →

Verwendung von Packet Capture (PCAP) zur Diagnose langsamer WiFi-Leistung

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs eine strukturierte Methodik auf Paketebene zur Diagnose und Behebung langsamer WiFi-Leistung in Unternehmen mithilfe der Packet Capture (PCAP)-Analyse. Durch die Analyse von rohen 802.11-Frames – einschließlich Retransmissionsraten, Airtime-Auslastung und Metadaten der physikalischen Schicht – können Teams Engpässe auf der HF-Schicht präzise von kabelgebundenen oder anwendungsspezifischen Problemen isolieren. Dieser Leitfaden ist für hochfrequentierte Standorte wie Hotels, Einzelhandelsketten, Stadien und Konferenzzentren geeignet und bietet direkt umsetzbare Diagnose-Workflows, Fallstudien aus der Praxis sowie Schritte zur Konfigurationsbehebung, um Netzwerkkapazitäten zurückzugewinnen und das Gästeerlebnis zu sichern.

Leitfaden lesen →