Zum Hauptinhalt springen
Deutsch

Konfiguration der Captive Portal-Weiterleitung auf Enterprise-Netzwerk-Controllern

Dieser maßgebliche Leitfaden beschreibt die technische Architektur und die herstellerspezifischen Konfigurationsschritte, die für die Implementierung der Captive Portal-Weiterleitung auf Enterprise-Netzwerk-Controllern erforderlich sind. Er bietet IT-Teams praxisnahe Anleitungen zur Konfiguration von Walled Gardens, zur Integration der RADIUS-Authentifizierung und zur Gewährleistung der Compliance mit GDPR und PCI DSS.

📖 6 Min. Lesezeit📝 1,397 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Welcome to the Purple Technical Briefing. I'm your host, and over the next ten minutes we're going straight into one of the most searched-for, least well-documented topics in enterprise WiFi: configuring captive portal redirection on network controllers. If you've ever searched for "configurar controlador portal cautivo" and come back empty-handed, this is the briefing you needed. We're covering the full picture - the technical architecture, the controller-by-controller configuration steps, the compliance requirements, and the real-world pitfalls that trip up even experienced network teams. Let's get into it. A captive portal is the mechanism that intercepts a guest device's first HTTP or HTTPS request after connecting to your WiFi network, and redirects it to a branded splash page before granting internet access. That splash page might ask for a social login, a form submission, a simple click-through acceptance of terms, or a RADIUS-backed credential check. The redirection itself is handled at the controller level - not the access point, not the firewall. The controller intercepts the unauthenticated client's traffic, applies a pre-authentication access control list - what we call a walled garden - and pushes the client's browser to your portal URL. Why does this matter commercially? Three reasons. First, compliance. Under GDPR, you are required to obtain explicit, informed consent before collecting personal data from visitors. A properly configured captive portal is your consent mechanism. Without it, you are collecting data without a lawful basis - and that is a regulatory exposure. Second, security. An open SSID with no authentication is a liability. Captive portal redirection, combined with VLAN segmentation and a RADIUS server, gives you per-session accountability. You know who connected, when, and from which device. Third, business intelligence. Every authenticated session is a first-party data point. Purple processes 440 million logins annually across 80,000 venues. That data - dwell time, visit frequency, demographic signals - is only available if your captive portal is correctly configured to capture and transmit it. Now let me walk you through the redirect flow, step by step. Step one: a guest device associates with your guest SSID. The controller assigns it an IP address via DHCP but places it in a restricted pre-authentication state. All traffic is blocked except for DNS and the walled garden domains you have explicitly permitted. Step two: the guest opens a browser. Their HTTP request hits the controller. The controller intercepts it and issues a 302 redirect to your portal URL. This is the core redirect mechanism. Step three: the guest's browser loads your splash page, hosted either on the controller itself or, more commonly in enterprise deployments, on an external cloud platform like Purple. Step four: the guest authenticates - via social login, form, or credentials. The portal sends an authorisation signal back to the controller, typically via a RADIUS Access-Accept message or a MAC authorisation bypass. Step five: the controller moves the client from the pre-authentication VLAN to the post-authentication VLAN, removes the redirect rule, and grants internet access. That five-step flow is consistent across all major controller platforms. What differs is how you configure each step on Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, and the others. Let's go through the major platforms. Cisco Meraki. Meraki uses a custom splash page configured entirely through the Meraki Dashboard - there is no CLI. Navigate to Wireless, then Access Control, select your guest SSID, set the splash page to "Sign-on with my RADIUS server" or "Click-through", then enter your external portal URL in the Custom Splash URL field. The walled garden is configured in the Advanced Splash Settings section - you add the IP addresses of your portal server so the guest can reach the splash page before authentication. RADIUS server details go in the RADIUS section: authentication on port 1812, accounting on port 1813. HPE Aruba. On ArubaOS, you configure a captive portal profile under the AAA section, specifying the login URL, the server group pointing to your RADIUS server, and the redirect URL. You then apply that profile to your SSID via the virtual AP profile. The pre-authentication role - what Aruba calls the "logon" role - contains the ACL that permits DNS, DHCP, and access to your portal server's IP range. Post-authentication, the controller assigns the "authenticated" role, which permits full internet access. Ruckus SmartZone uses a Hotspot WLAN type for captive portal deployments. Under WLAN configuration, set the WLAN type to Hotspot, then configure the portal URL, the RADIUS server for authentication and accounting, and the walled garden entries. The Northbound Portal Interface handles the MAC authorisation flow between the portal and the controller. Juniper Mist uses a cloud-native approach. Under Network, then WLANs, create a guest WLAN and set the portal type to "External Captive Portal". Enter your portal URL and configure the RADIUS server details. Mist passes the client MAC, the AP MAC, and the SSID name as URL parameters to the portal. Ubiquiti UniFi. In the UniFi Network Controller, navigate to Settings, then WiFi, select your guest network, and under Advanced Options set the Guest Policy to enable the hotspot portal. Set the portal type to "External" and enter your portal URL. Configure the RADIUS server under Profiles, then RADIUS. The walled garden is the most commonly misconfigured element in captive portal deployments. Get this wrong and your guests will see a browser error instead of your splash page. The walled garden must permit, at minimum: your portal server's IP addresses or domain, your RADIUS server's IP addresses, DNS resolution on port 53, and DHCP on port 67 and 68. If your portal loads assets from a CDN - fonts, images, JavaScript - those CDN domains must also be in the walled garden. For Purple deployments, we provide the specific IP ranges and domains to whitelist during onboarding. The most common failure mode is a portal that loads the HTML frame but fails to render images or execute JavaScript because the CDN domains are missing from the walled garden. Two compliance standards dominate here: GDPR and PCI DSS. Under GDPR, your captive portal must present a clear, specific consent mechanism before collecting personal data. This means separate, unticked checkboxes for WiFi access and marketing consent. You cannot bundle them. The consent record must be stored and retrievable for audit purposes. Purple's platform handles this automatically, storing consent records against each authenticated session. Under PCI DSS, if your venue processes card payments, your guest WiFi network must be isolated from your payment card environment. This means a dedicated guest VLAN with firewall rules preventing any routing between the guest segment and your POS network. PCI DSS version 4.0, which became mandatory in March 2024, requires network segmentation testing at least every six months. Let me give you two concrete scenarios. Scenario one: a 350-room hotel running Cisco Meraki. The hotel wants to replace a basic click-through portal with a branded guest experience that captures email addresses for their loyalty programme. The configuration: create a dedicated guest SSID on a separate VLAN with internet access only. Configure the Meraki splash page to point to Purple's portal URL. Set up RADIUS authentication using Purple's RADIUS server details. Configure the walled garden with Purple's IP ranges. In the Purple dashboard, build a branded splash page with a form capturing name, email, and room number, with explicit GDPR consent checkboxes. Connect the Purple CRM connector to the hotel's marketing platform. Premier Inn implemented this model across their estate and saw measurable increases in direct booking rates from WiFi-acquired guests. Scenario two: a regional retail chain with 40 stores running HPE Aruba. The retailer needs a consistent guest WiFi experience across all sites, with footfall analytics to compare store performance. Deploy Aruba Central to manage all 40 sites from a single dashboard. Configure a guest WLAN template with external captive portal pointing to Purple. Apply the template across all sites using Aruba Central's group policy feature. In Purple, configure a single portal template that applies across all venues, with per-venue analytics dashboards. The walled garden and RADIUS configuration are defined once in the template and propagated automatically. Result: the IT team manages 40 sites from one console. The marketing team gets per-store footfall data, dwell time analysis, and repeat visit rates - all from a single Purple dashboard. Four pitfalls I see repeatedly. One: HTTPS interception failures. Modern browsers and mobile operating systems use HTTPS probes to detect captive portals. If your controller cannot intercept HTTPS traffic - which requires a valid certificate for the redirect domain - the probe fails silently and the guest sees no redirect. The fix: configure your controller's virtual interface with a trusted certificate, or use HTTP-only probes on your guest SSID. Two: DNS leakage. If your pre-authentication ACL permits unrestricted DNS, guests can use DNS tunnelling to bypass the captive portal entirely. Restrict DNS to your designated resolver only. Three: session timeout mismatches. If your controller session timeout is shorter than your portal's session token validity, guests get redirected back to the portal mid-session. Align these values - typically 24 hours for hospitality, eight hours for retail. Four: missing accounting. RADIUS accounting - the Accounting-Start and Accounting-Stop messages - is how your portal knows a session has ended. Without accounting configured, your portal's session records will be inaccurate and your analytics will be unreliable. Quick questions, quick answers. Can I use an external portal with any controller? Yes, provided the controller supports external captive portal redirect - which all the platforms we have discussed do. Do I need a RADIUS server to run a captive portal? Not always. Simple click-through portals can use MAC authorisation bypass without a full RADIUS server. But for credential-based or social login portals, RADIUS is the standard mechanism. Does captive portal work with WPA3? Yes. WPA3 handles the wireless encryption layer. Captive portal handles the authentication layer. They operate independently and are fully compatible. How does Purple integrate with my existing controller? Purple acts as the external portal server. You point your controller's splash URL to Purple's portal endpoint, configure the walled garden with Purple's IP ranges, and set up RADIUS using Purple's server details. The integration is the same process regardless of whether you're on Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, or Ubiquiti UniFi. To summarise. Captive portal redirection is configured at the controller level, not the access point. The core components are: the splash URL pointing to your portal, the walled garden permitting access to your portal server, RADIUS for authentication and accounting, and VLAN segmentation for network isolation. The configuration steps differ by vendor but the architecture is consistent. For compliance, your portal must implement GDPR-compliant consent capture and PCI DSS-compliant network segmentation. WPA3 is the current standard for wireless encryption and should be your baseline specification on any new deployment. Purple integrates natively with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet. Across 80,000 venues and 440 million logins in 2024, the platform is hardware-agnostic by design - your controller choice does not constrain your ability to capture first-party guest data or run analytics. Your next step: review your current controller configuration against the walled garden and RADIUS accounting checklist in this guide. If you're deploying a new guest WiFi network, start with the vendor-specific configuration steps for your controller platform and connect Purple as your external portal. Thanks for listening. This has been the Purple Technical Briefing.

header_image.png

Executive Summary

Die Konfiguration einer Captive Portal-Weiterleitung auf einem Enterprise-Netzwerk-Controller ist eine grundlegende Voraussetzung für die Bereitstellung von sicherem, compliantem Gäste-WiFi. Bei korrekter Konfiguration fängt der Controller den nicht authentifizierten Client-Traffic ab und leitet ihn über einen HTTP-302-Redirect an ein externes Portal weiter, was die Authentifizierung, die Erfassung von Einwilligungen und die Netzwerksegmentierung ermöglicht. Bei einer Fehlkonfiguration führt dies zu unbemerkt fehlschlagenden Verbindungen, Sicherheitswarnungen im Browser und Compliance-Risiken.

Dieser Leitfaden beschreibt die technische Architektur und die herstellerspezifischen Konfigurationsschritte, die für die Bereitstellung externer Captive Portals auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi erforderlich sind. Wir erläutern die Funktionsweise des Redirect-Flows, die genauen Anforderungen für die Walled-Garden-Konfiguration und die Integration von RADIUS für Authentifizierung und Accounting. Indem Sie diese Schritte befolgen, stellen Sie sicher, dass Ihr Gästenetzwerk die Segmentierungsanforderungen von PCI DSS erfüllt, die ausdrückliche GDPR-Einwilligung einholt und First-Party-Daten sicher an Plattformen wie Purple weiterleitet.

Technical Deep-Dive

Der Captive Portal-Weiterleitungsmechanismus arbeitet auf der Ebene des Netzwerk-Controllers. Er basiert auf einer bestimmten Abfolge von Netzwerkstatusänderungen, um ein Client-Gerät abzufangen, zu authentifizieren und zu autorisieren.

architecture_overview.png

Der Redirect-Flow

  1. Assoziierung und DHCP: Ein Gäste-Gerät verbindet sich mit der Gäste-SSID. Der Controller weist über DHCP eine IP-Adresse zu, versetzt den Client jedoch in einen eingeschränkten Pre-Authentication-Status (häufig einem bestimmten Pre-Auth-VLAN oder einer Rolle zugewiesen).
  2. Walled-Garden-Erzwingung: In diesem Pre-Authentication-Status wird der gesamte ausgehende Traffic verworfen, mit Ausnahme von DNS (Port 53), DHCP (Ports 67 und 68) und Traffic, der für bestimmte IP-Adressen oder Domänen bestimmt ist, die in der Access Control List (ACL) definiert sind. Diese ACL wird als Walled Garden bezeichnet.
  3. Abfangen und Weiterleitung: Wenn der Gast einen Browser öffnet und eine HTTP-Anfrage initiiert, fängt der Controller die Anfrage ab. Anstatt den Traffic ins Internet zu leiten, antwortet der Controller mit dem Statuscode HTTP 302 Found und leitet den Browser an die URL Ihres externen Captive Portals weiter. Moderne Betriebssysteme verwenden automatische HTTPS-Probes (wie den Captive Network Assistant von Apple), um diese Weiterleitung zu erkennen und einen Pseudo-Browser zu öffnen.
  4. Authentifizierung: Der Gast interagiert mit der Splash-Page, die auf dem externen Portal gehostet wird (z. B. Purple). Dies kann ein Social Login, das Ausfüllen eines Formulars oder ein einfacher Klick sein. Nach Abschluss kommuniziert das Portal mit dem Controller, um die Sitzung zu autorisieren.
  5. Autorisierung und Accounting: Das Autorisierungssignal wird in der Regel über eine RADIUS Access-Accept-Nachricht oder über eine herstellerspezifische API gesendet. Der Controller empfängt dieses Signal, verschiebt den Client in den Post-Authentication-Status (oft ein anderes VLAN), entfernt die Weiterleitungsregel und gewährt Internetzugang. Der Controller sendet dann eine RADIUS Accounting-Start-Nachricht, um die Sitzungsdauer und den Datenverbrauch zu protokollieren.

Implementierungsleitfaden

Die grundlegende Architektur ist herstellerübergreifend konsistent, aber die Konfigurationssyntax unterscheidet sich erheblich. Nachfolgend finden Sie die Schritte für die führenden Enterprise-Plattformen.

vendor_comparison_chart.png

Cisco Meraki

Cisco Meraki konfiguriert Captive Portals vollständig über das Meraki Dashboard.

  1. Navigieren Sie zu Wireless > Access Control und wählen Sie Ihre Gäste-SSID aus.
  2. Wählen Sie unter Splash page die Option Sign-on with my RADIUS server (für anmeldedatenbasierten Zugriff) oder Click-through.
  3. Geben Sie im Feld Custom Splash URL die von Purple bereitgestellte URL Ihres externen Portals ein.
  4. Unter RADIUS geben Sie die IP-Adressen der primären und sekundären RADIUS-Server für die Authentifizierung (Port 1812) und das Accounting (Port 1813) sowie das Shared Secret ein.
  5. Scrollen Sie zu Advanced Splash Settings, um den Walled Garden zu konfigurieren. Fügen Sie die IP-Adressen oder Domänen Ihres Portalservers und aller erforderlichen CDNs hinzu.

HPE Aruba

Die Aruba-Konfiguration umfasst das Definieren eines Captive Portal-Profils und das Zuweisen zu einer Rolle.

  1. Navigieren Sie in ArubaOS zu Configuration > Authentication > L3 Authentication.
  2. Erstellen Sie ein neues Captive Portal Authentication Profile. Geben Sie unter Login URL die Adresse ein, die auf Ihre Purple-Splash-Page verweist.
  3. Erstellen Sie eine Server Group, die Ihre RADIUS-Server enthält, und weisen Sie diese dem Captive Portal-Profil zu.
  4. Navigieren Sie zu Configuration > Security > Roles. Bearbeiten Sie die Pre-Authentication-Rolle (oft als logon bezeichnet). Stellen Sie sicher, dass die ACL DHCP-, DNS- und HTTP/HTTPS-Traffic zu Ihren Walled-Garden-IP-Adressen zulässt und das Captive Portal-Profil auf allen anderen HTTP-Traffic anwendet.
  5. Weisen Sie die Rolle logon als initiale Rolle in Ihrem AAA-Profil für die Gäste-SSID zu.

Ruckus SmartZone

Ruckus verwendet einen spezifischen WLAN-Typ für Hotspot-Bereitstellungen.

  1. Navigieren Sie zu WLANs und erstellen Sie ein neues WLAN. Stellen Sie den WLAN Type auf Hotspot (WISPr) ein.
  2. Wählen Sie unter Authentication Options die Option External RADIUS Server und geben Sie Ihre Serverdaten für Authentifizierung und Accounting ein.
  3. Unter Hotspot Portal wähct External und geben Sie Ihre Portal-URL ein.
  4. Konfigurieren Sie den Walled Garden, indem Sie die erforderlichen IP-Adressen oder Domains hinzufügen.
  5. Ruckus verlässt sich auf sein Northbound Portal Interface (NPI), um den Autorisierungsfluss abzuwickeln, was die Konfiguration der NPI-Einstellungen erfordert, um die Kommunikation von Ihrem Portalserver zuzulassen.

Ubiquiti UniFi

UniFi bietet eine unkomplizierte Benutzeroberfläche für externe Portale.

  1. Gehen Sie im UniFi Network Controller zu Settings > WiFi und wählen Sie Ihr Gastnetzwerk aus.
  2. Aktivieren Sie unter Advanced Options die Guest Policy.
  3. Gehen Sie zu Settings > Guest Control. Wählen Sie unter Portal Type die Option External Portal Server und geben Sie Ihre Portal-URL ein.
  4. Fügen Sie unter Access Control die erforderlichen IP-Adressen zur Liste Pre-Authorization Access (dem Walled Garden) hinzu.
  5. Konfigurieren Sie die RADIUS-Serverdetails unter Profiles > RADIUS und wenden Sie das Profil auf das Gastnetzwerk an.

Best Practices

1. Walled Garden-Konfiguration

Der Walled Garden ist die kritischste Fehlerquelle bei Captive Portal-Bereitstellungen. Wenn der Walled Garden unvollständig ist, kann der Browser des Gastes die Splash-Page nicht laden, was zu einem leeren Bildschirm oder einem Timeout-Fehler führt.

Sie müssen den Zugriff explizit zulassen für:

  • Die IP-Adressen oder Domains des primären Portalservers.
  • Die IP-Adressen des RADIUS-Servers.
  • Alle Content Delivery Networks (CDNs), die vom Portal zum Laden von Schriftarten, Bildern oder JavaScript verwendet werden.
  • Identity-Provider-Domains bei Verwendung von Social Login (z. B. facebook.com, google.com).

2. Netzwerksegmentierung für PCI DSS

Wenn an Ihrem Standort Kartenzahlungen verarbeitet werden, erfordert die PCI DSS-Compliance eine strikte Isolierung des Gastnetzwerks von der Karteninhaber-Datenumgebung. Verlassen Sie sich nicht ausschließlich auf die SSID-Trennung. Sie müssen ein dediziertes Gast-VLAN auf Controller- oder Switch-Ebene konfigurieren, mit Firewall-Regeln, die das Routing zwischen dem Gast-VLAN und internen Unternehmens- oder Point-of-Sale-Netzwerken (POS) explizit blockieren.

3. RADIUS-Accounting

Konfigurieren Sie immer das RADIUS-Accounting. Während ein MAC-Autorisierungs-Bypass den Zugriff gewähren kann, ist das RADIUS-Accounting (Meldungen wie Accounting-Start und Accounting-Stop) erforderlich, um die Sitzungsdauer und den Datennutzung präzise zu erfassen. Ohne Accounting meldet Ihre Analyseplattform ungenaue Verweilzeiten und fehlerhafte Zahlen gleichzeitiger Nutzer.

Fehlerbehebung & Risikominderung

Fehler bei der HTTPS-Interzeption

Moderne Betriebssysteme verwenden HTTPS-Probes, um Captive Portals zu erkennen. Wenn der Controller eine HTTPS-Anfrage abfängt, aber ein ungültiges oder nicht vertrauenswürdiges SSL-Zertifikat für die Weiterleitung präsentiert, zeigt der Browser eine schwerwiegende Sicherheitswarnung an (z. B. „Ihre Verbindung ist nicht privat“) und blockiert die Weiterleitung. Um dies zu verhindern, stellen Sie sicher, dass Ihr Controller mit einem gültigen, öffentlich vertrauenswürdigen SSL-Zertifikat für seine virtuelle Schnittstelle ausgestattet ist, oder konfigurieren Sie den Controller so, dass er nur HTTP-Verkehr für die erste Weiterleitung abfängt.

DNS-Leakage

Wenn die Pre-Authentication-ACL uneingeschränkten ausgehenden DNS-Verkehr zulässt, können versierte Nutzer DNS-Tunneling verwenden, um das Captive Portal zu umgehen und ohne Authentifizierung auf das Internet zuzugreifen. Verhindern Sie dies, indem Sie den ausgehenden DNS-Verkehr in der Pre-Authentication-Rolle auf Ihre zugewiesenen DNS-Resolver beschränken und allen anderen Datenverkehr auf Port 53 blockieren.

Abweichungen beim Sitzungs-Timeout

Wenn das auf dem Wireless-Controller konfigurierte Sitzungs-Timeout kürzer ist als die im externen Portal definierte Gültigkeitsdauer der Sitzung, werden Gäste abrupt getrennt und zur erneuten Authentifizierung gezwungen. Stellen Sie sicher, dass das Idle-Timeout und das absolute Sitzungs-Timeout des Controllers auf das gewünschte Gasterlebnis abgestimmt sind (z. B. 24 Stunden in der Hotellerie, 8 Stunden im Einzelhandel).

ROI & geschäftlicher Nutzen

Die Bereitstellung eines ordnungsgemäß konfigurierten Captive Portals verwandelt das Gäste-WiFi von einem Betriebskostenfaktor in einen strategischen Vorteil. Durch die Integration von Enterprise-Controllern mit einer Intelligence-Ebene wie Purple können Standorte die ausdrückliche GDPR-Einwilligung einholen und wertvolle First-Party-Daten sammeln.

Purple verarbeitet jährlich 440 Millionen Logins an 80.000 Standorten. Diese Daten fließen direkt in CRM-Plattformen ein und ermöglichen zielgerichtete Marketingkampagnen auf der Grundlage tatsächlicher physischer Besuche. Beispielsweise können Betreiber im Einzelhandel die Besucherfrequenz und die Rate wiederkehrender Besuche messen, während Hotellerie -Betriebe Direktbuchungen fördern können, indem sie Gäste nach ihrem Aufenthalt ansprechen. Der ROI bemisst sich an einem höheren Customer Lifetime Value, einer verbesserten betrieblichen Effizienz durch präzise Frequenzanalysen und der Minimierung regulatorischer Risiken durch automatisisiertes Compliance-Management.

Schlüsseldefinitionen

Captive Portal

A web page that intercepts unauthenticated network traffic and requires user interaction—such as accepting terms or providing credentials—before granting internet access.

Used in enterprise networks to enforce security policies, capture first-party data, and ensure regulatory compliance.

Walled Garden

An access control list (ACL) applied to unauthenticated clients, permitting access only to specific IP addresses or domains required to load the captive portal.

Critical for ensuring the splash page loads correctly; missing CDN domains in the walled garden will cause the portal to render improperly.

RADIUS

Remote Authentication Dial-In User Service. A networking protocol that provides centralised Authentication, Authorization, and Accounting (AAA) management.

Used by network controllers to verify guest credentials against an external database and log session metrics.

VLAN Segmentation

The practice of dividing a physical network into multiple logical networks to isolate traffic.

Mandatory for PCI DSS compliance to ensure guest WiFi traffic cannot route to payment card environments.

HTTP 302 Redirect

A standard HTTP response status code indicating that the requested resource has been temporarily moved to a different URL.

The mechanism used by network controllers to intercept a guest's initial web request and push their browser to the splash page.

IEEE 802.1X

An IEEE standard for port-based network access control, requiring devices to authenticate before gaining access to the network.

Provides enterprise-grade security by ensuring each connection is individually authenticated, often backed by a RADIUS server.

WPA3-Enterprise

The latest Wi-Fi security protocol, providing robust encryption and requiring 802.1X authentication.

Recommended for secure enterprise deployments to protect against offline dictionary attacks and ensure data confidentiality.

MAC Authorisation Bypass (MAB)

A method of granting network access based on the client device's MAC address rather than requiring explicit user credentials.

Often used in click-through captive portals where the portal registers the MAC address after the user accepts the terms of service.

Ausgearbeitete Beispiele

A 350-room hotel needs to deploy a branded guest WiFi portal that captures email addresses for their loyalty programme, ensuring compliance with GDPR and isolating guest traffic from the corporate network.

The IT team deploys Cisco Meraki APs and configures a dedicated guest SSID on VLAN 100. In the Meraki Dashboard, they set the splash page to 'Sign-on with my RADIUS server' and enter Purple's portal URL. They configure the walled garden to include Purple's IP ranges and CDN domains. Firewall rules are applied to VLAN 100, denying routing to the corporate VLAN to ensure PCI DSS compliance. In the Purple platform, a branded portal is created with a data capture form and explicit GDPR consent checkboxes. The Purple CRM connector is configured to sync captured emails directly to the hotel's marketing platform.

Kommentar des Prüfers: This approach correctly addresses both the technical and commercial requirements. VLAN segmentation ensures security and compliance, while the integration with Purple provides the necessary consent capture and CRM synchronisation. The use of RADIUS ensures accurate session tracking.

A regional retail chain with 40 stores requires a consistent guest WiFi experience across all locations, with centralised management and store-level footfall analytics.

The retailer deploys HPE Aruba APs managed via Aruba Central. A single guest WLAN template is created with an external captive portal pointing to Purple. The pre-authentication role is configured with the necessary walled garden ACLs. This template is applied across all 40 sites using Aruba Central's group policy. In Purple, a unified portal design is deployed, with analytics dashboards configured to segment data by individual store locations.

Kommentar des Prüfers: Using Aruba Central's template-driven configuration eliminates configuration drift across the 40 sites. The integration with Purple allows the marketing team to compare footfall and dwell time metrics across the entire estate from a single interface, demonstrating the value of a hardware-agnostic intelligence layer.

Übungsfragen

Q1. A venue reports that guests connecting to the WiFi are seeing a blank screen instead of the branded splash page. The portal uses custom fonts hosted on Google Fonts. What is the most likely configuration error?

Hinweis: Consider what traffic is permitted before a user authenticates.

Musterlösung anzeigen

The walled garden is incomplete. The Google Fonts CDN domains have not been added to the pre-authentication ACL. The controller is blocking the request to load the fonts, causing the page render to fail.

Q2. To comply with PCI DSS, an IT manager creates a new SSID named 'Guest_WiFi' on the same subnet as the corporate network. Is this sufficient?

Hinweis: PCI DSS requires isolation of the cardholder data environment.

Musterlösung anzeigen

No. Creating a separate SSID on the same subnet does not provide network isolation. The guest network must be placed on a dedicated VLAN with firewall rules explicitly denying routing to the corporate or POS networks.

Q3. A retail chain notices that their analytics dashboard shows 1,000 authentications per day, but the average dwell time metric is missing or zero. What configuration step was missed?

Hinweis: Which protocol is responsible for tracking session duration?

Musterlösung anzeigen

RADIUS Accounting has not been configured on the controller. Without the Accounting-Start and Accounting-Stop messages, the analytics platform cannot calculate the duration of the sessions.

Weiterlesen in dieser Reihe

Enterprise-Gast-WiFi-Einrichtungsleitfaden: VLAN-Segmentierung, Sicherheit und Captive Portals

Dieser Leitfaden bietet einen technischen Entwurf für die Bereitstellung von Enterprise-Gast-WiFi mit Fokus auf VLAN-Segmentierung, Sicherheitsprotokolle und die Architektur von Captive Portals. Er beschreibt im Detail, wie Datenverkehr isoliert, Verschlüsselungsstandards durchgesetzt und First-Party-Daten an komplexen Standorten sicher erfasst werden.

Leitfaden lesen →

Mitarbeiter-WiFi Captive Portal: Onboarding und Authentifizierung von Mitarbeitern

Eine umfassende technische Referenz für IT-Leiter zur Konzeption und Bereitstellung von Mitarbeiter-WiFi Captive Portals. Dieser Leitfaden behandelt EAP-TLS-Authentifizierung, BYOD-Onboarding, VLAN-Segmentierung und Bandbreitenmanagement zur Steigerung der betrieblichen Effizienz und Minimierung von Sicherheitsrisiken.

Leitfaden lesen →

So konfigurieren Sie die WeChat-OAuth-Authentifizierung für Captive Portals

Dieser technische Leitfaden erklärt, wie Sie die WeChat-OAuth-Authentifizierung für Captive Portals konfigurieren. Er beschreibt detailliert die erforderlichen Plattformregistrierungen, den OAuth 2.0-Ablauf, die Scope-Auswahl und die Mechanismen zur Netzwerkdurchsetzung, die erforderlich sind, um First-Party-Daten von chinesischen Besuchern sicher zu erfassen.

Leitfaden lesen →