Zum Hauptinhalt springen

Fehlerbehebung bei öffentlichem WiFi: Behebung von "Verbunden, kein Internet" und Fehlern bei der Weiterleitung zur Splash Page

Dieser maßgebliche technische Leitfaden erklärt die zugrunde liegenden Mechanismen der Captive Portal Erkennung und beschreibt die sechs Hauptfehlerquellen, die eine Verbindung zum Gäste-WiFi verhindern. Er bietet IT-Managern und Netzwerkarchitekten einen praktischen Rahmen zur Fehlerbehebung bei HTTP-Weiterleitungsproblemen, DNS-Konflikten und Herausforderungen durch MAC-Randomisierung.

📖 6 Min. Lesezeit📝 1,303 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zu diesem technischen Briefing von Purple. Heute befassen wir uns mit einem der hartnäckigsten und am häufigsten missverstandenen Probleme in drahtlosen Netzwerken für Unternehmen: das Captive Portal für Gäste-WiFi, das einfach nicht geladen werden will. Sie kennen das. Ein Gast kommt in Ihr Hotel, Ihr Ladengeschäft, Ihr Stadion oder Ihr Konferenzzentrum. Er verbindet sich mit dem WiFi-Netzwerk. Nichts passiert. Keine Anmeldeseite. Kein Internet. Nur ein sich drehendes Symbol und wachsende Frustration. Für Betriebsleiter und IT-Manager ist dieser Moment nicht nur eine kleine Unannehmlichkeit. Er stellt ein direktes Versagen Ihres Gästeerlebnisses, einen Anstieg der Support-Anrufe an der Rezeption und eine verpasste Gelegenheit zur Erfassung von First-Party-Daten dar, die Ihre Investitionen in die Wireless-Infrastruktur rechtfertigen. In diesem Briefing blicken wir hinter die Kulissen. Wir erklären genau, wie die Erkennung von Captive Portals auf Betriebssystemebene funktioniert, identifizieren die sechs Hauptursachen, die für die überwiegende Mehrheit der Verbindungsfehler verantwortlich sind, und an die Hand geben Ihnen ein praktisches, direkt umsetzbares Framework zur Fehlerbehebung, das Sie noch heute an Ihr IT-Team weitergeben können. Beginnen wir mit der Funktionsweise. Die meisten Menschen betrachten ein Captive Portal einfach als eine Anmeldeseite. In Wahrheit handelt es sich um einen Mechanismus zum Abfangen von Datenverkehr auf Netzwerkesebene, und dieser Unterschied ist von enormer Bedeutung, wenn Probleme auftreten. Der Ablauf ist wie folgt: Das Gerät eines Gasts verbindet sich mit Ihrer Gäste-SSID und erhält eine IP-Adresse über DHCP. Zu diesem Zeitpunkt wartet das Betriebssystem nicht darauf, dass der Benutzer einen Browser öffnet. Im Hintergrund sendet ein Systemdienst sofort eine unverschlüsselte HTTP-GET-Anfrage an eine vom Hersteller kontrollierte Probe-URL. Apple-Geräte fragen captive.apple.com ab. Android-Geräte fragen connectivitycheck.gstatic.com ab. Windows-Geräte fragen msftconnecttest.com ab. Firefox hat einen eigenen Test unter detectportal.firefox.com. Wenn das Netzwerk über einen freien Internetzugang verfügt, liefern diese Tests die erwarteten Antworten und das Betriebssystem zieht den Schluss, dass alles in Ordnung ist. In einem Gästenetzwerk fängt Ihr Wireless-Gateway oder -Controller diese HTTP-Probe jedoch ab, bevor sie das Internet erreicht. Anstelle der erwarteten Antwort gibt das Gateway eine HTTP 307-Weiterleitung zurück, die auf die Splash-Page Ihres Captive Portals verweist. Das Betriebssystem erkennt die unerwartete Weiterleitung, stellt fest, dass es sich hinter einem Captive Portal befindet, und öffnet ein Sandbox-Browserfenster - oft als Captive Network Assistant bezeichnet - um die Anmeldeseite anzuzeigen. Das ist der Idealfall. Kommen wir nun zu den sechs Gründen, warum dieser Prozess scheitern kann. Hauptursache Nummer eins: Erschöpfung des DHCP-Pools. Dies ist der stille Killer bei Veranstaltungen mit hoher Dichte. Wenn Sie eine Konferenz mit zweitausend Teilnehmern in einem Standard-Slash-24-Subnetz durchführen, stehen Ihnen 254 nutzbare IP-Adressen zur Verfügung. Wenn Ihre DHCP-Lease-Zeit auf den Standardwert von 24 Stunden eingestellt ist, ist dieser Pool innerhalb von Minuten nach Türöffnung erschöpft. Jeder nachfolgende Verbindungsversuch schlägt fehl, noch bevor die Captive Portal - Sequenz überhaupt beginnt. Die Lösung ist einfach: Stellen Sie die DHCP-Lease-Zeiten für Gäste in Umgebungen mit hoher Fluktuation auf 15 bis 30 Minuten ein und dimensionieren Sie Ihre Subnetze angemessen für die maximale Anzahl gleichzeitiger Benutzer, nicht nur für die Gesamtzahl der Teilnehmer. Hauptursache Nummer zwei: DNS-Abfangfehler. Die Captive Portal - Weiterleitung hängt davon ab, dass das Gateway den HTTP-Probe abfängt. Der Probe erfordert jedoch zuerst eine DNS-Abfrage. Wenn Ihre DNS-Konfiguration es nicht authentifizierten Clients nicht erlaubt, externe Domainnamen aufzulösen, wird der Probe nie ausgelöst. Stellen Sie sicher, dass Ihre Firewall-Richtlinie DNS-Abfragen von nicht authentifizierten Clients explizit zulässt, und überprüfen Sie, ob Ihr DNS-Abfangen funktioniert, indem Sie eine Paketerfassung an einem Testgerät durchführen. Hauptursache Nummer drei: Unvollständiger Walled Garden. Der Walled Garden - auch bekannt als Pre-Authentication Access Control List - definiert, welche externen Domains nicht authentifizierte Gäste erreichen können. Wenn Ihre Portal-Startseite Assets von einem CDN lädt, das sich nicht im Walled Garden befindet, wird die Seite als leerer Bildschirm gerendert. Wenn Sie Social Login über Google, Apple oder Facebook anbieten, muss jede OAuth-Domain, die diese Anbieter verwenden, auf die Whitelist gesetzt werden. Und hier ist der entscheidende Punkt: Social-Identity-Anbieter aktualisieren ihre CDN-IP-Bereiche und Authentifizierungsdomains regelmäßig. Ein Walled Garden, der vor sechs Monaten noch perfekt funktionierte, kann heute stillschweigend fehlerhaft sein. Planen Sie vierteljährliche Walled Garden - Audits und nutzen Sie Wildcard-Domain-Snooping, sofern Ihre Hardware dies unterstützt. Auf Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist ist dies nativ verfügbar. Hauptursache Nummer vier: HSTS blockiert die Weiterleitung. HTTP Strict Transport Security, oder HSTS, ist eine Sicherheitsrichtlinie für Browser, die Verbindungen zu bestimmten Domains ausschließlich über HTTPS erzwingt. Wenn das Gerät eines Gastes versucht, eine vorab in HSTS geladene Domain zu kontaktieren - und das umfasst praktisch jede größere Website - und Ihr Gateway versucht, diese HTTPS-Anfrage abzufangen, um zum Portal weiterzuleiten, erkennt der Browser eine Zertifikatsabweichung. Er zeigt eine nicht umgehbare Sicherheitswarnung an und blockiert die Weiterleitung vollständig. Die richtige Lösung besteht darin, niemals zu versuchen, HTTPS abzufangen. Ihr Gateway sollte nur die unverschlüsselten HTTP-Canary-Probes weiterleiten. Die langfristige, auf Standards basierende Lösung ist RFC 8910, der die DHCP-Option 114 definiert. Diese Option ermöglicht es Ihrem DHCP-Server, die Captive Portal - URL direkt an das Client-Gerät zu übermitteln, wodurch die Notwendigkeit einer HTTP-Weiterleitung vollständig entfällt. iOS 14 und Android 11 und höher unterstützen dies nativ. Ursache Nummer fünf: Ein aktives VPN auf dem Endgerät des Gastes. Ein VPN verschlüsselt den gesamten Datenverkehr des Geräts und leitet ihn über einen externen Tunnel um, bevor er Ihr Gateway erreicht. Ihr Gateway sieht die HTTP-Anfrage gar nicht. Die Erkennungssequenz für das Captive Portal wird nie ausgelöst. Der Gast sieht keine Anmeldeseite und hat kein Internet. Die Lösung für den Gast ist einfach: VPN deaktivieren, mit dem Portal verbinden, dann das VPN wieder aktivieren. Für Ihr Servicepersonal sollte dies die erste Frage sein, wenn ein Gast ein Verbindungsproblem meldet. Ursache Nummer sechs: Die Randomisierung von MAC-Adressen unterbricht die Sitzungspersistenz. Moderne iOS- und Android-Geräte verwenden standardmäßig randomisierte MAC-Adressen als Datenschutzfunktion. Jedes Mal, wenn sich ein Gerät mit einem Netzwerk verbindet, präsentiert es möglicherweise eine andere MAC-Adresse. Da der Sitzungsstatus des Captive Portals anhand der MAC-Adresse verfolgt wird, kann einem Gast, der sich vor einer Stunde authentifiziert hat, nach der Rotation der MAC-Adresse seines Geräts erneut die Anmeldeseite angezeigt werden. Die Lösung auf Gästeseite besteht darin, die private Adresse für Ihre spezifische SSID in den Netzwerkeinstellungen zu deaktivieren. Die betreiberseitige Lösung ist die Implementierung einer profilbasierten Authentifizierung - wie OpenRoaming über Passpoint und 802.1X - die auf Layer 2 unter Verwendung von Anmeldedaten anstelle von MAC-Adressen authentifiziert, wodurch die Randomisierung irrelevant wird. Lassen Sie uns nun über die Implementierung sprechen. Wie sieht eine gut konfigurierte Captive Portal-Bereitstellung in der Praxis tatsächlich aus? Beginnen Sie mit Ihrer DHCP-Architektur. Für jeden Veranstaltungsort, der mehr als 200 gleichzeitige Geräte erwartet, sollten Sie von einem einzelnen Slash-24-Subnetz absehen. Verwenden Sie ein Slash-22 oder größer und legen Sie die Lease-Zeiten so fest, dass sie dem Verweildauerprofil Ihres Standorts entsprechen. Ein Hotel setzt Leases auf 8 Stunden. Ein Stadion setzt Leases auf 3 Stunden. Ein Einkaufszentrum setzt Leases auf 90 Minuten. Ein Konferenzzentrum setzt Leases auf 30 Minuten. Überprüfen Sie als Nächstes Ihren Walled Garden vor jeder größeren Veranstaltung. Die erforderlichen Mindesteinträge sind: der vollqualifizierte Domänenname Ihres Portals und alle zugehörigen CDN-Domänen, die Captive Portal-Erkennungs-URLs für Apple, Google, Windows und Firefox sowie die OAuth-Domänen für jeden von Ihnen unterstützten Social-Login-Anbieter. Auf der Plattform von Purple pflegen und aktualisieren wir diese Walled-Garden-Einträge automatisch als Teil unseres Cloud-Managed-Service, was Ihrem Team den manuellen Wartungsaufwand abnimmt. Verwenden Sie für Ihr Portal-Zertifikat ein öffentlich vertrauenswürdiges TLS-Zertifikat einer anerkannten Zertifizierungsstelle. Selbstsignierte Zertifikate führen auf jedem Gerät zu Browserwarnungen. Erneuern Sie Zertifikate vor dem Ablauf - ein abgelaufenes Zertifikat ist eine der häufigsten Ursachen für plötzliche, standortweite Ausfälle des Portals. Eine Falle, in die viele IT-Teams tappen: das Testen des Portals mit einem Gerät, das zuvor bereits authentifiziert wurde. Die Sitzung Ihres Geräts ist noch aktiv, sodass Sie das Portal vollständig umgehen und den Schluss ziehen, dass alles funktioniert. Testen Sie immer mit einem Gerät in einem frischen, nicht authentifizierten Zustand - entweder mit einem neuen Gerät oder mit einem, bei dem Sie das Netzwerk ignoriert und das WiFi-Profil gelöscht haben. Lassen Sie mich Ihnen zwei praxisnahe Szenarien nennen, die diese Prinzipien veranschaulichen. Szenario eins: Ein Hotel mit 350 Zimmern im Londoner Stadtzentrum. Die Unterkunft betrieb ein einziges /24-Subnetz für das Gäste WiFi. Während einer großen Konferenz trafen 400 Delegierte gleichzeitig ein. Innerhalb von 20 Minuten war der DHCP-Pool erschöpft. Gäste meldeten, dass sie zwar verbunden waren, aber das Captive Portal oder das Internet nicht erreichen konnten. Die sofortige Lösung bestand darin, das Subnetz auf /22 zu erweitern, was 1.022 nutzbare Adressen bereitstellte, und die Lease-Zeit von 24 Stunden auf 8 Stunden zu verkürzen. Die langfristige Lösung war die Implementierung des cloudbasierten Captive Portal von Purple, das die Auslastung des DHCP-Pools in Echtzeit überwacht und das Netzwerkteam warnt, bevor eine Erschöpfung eintritt. Die Ausfallrate des Portals sank innerhalb von 48 Stunden nach der Änderung auf fast Null. Szenario zwei: Eine große Einzelhandelskette mit 200 Filialen. Die Kette nutzte Social Login über Google und Facebook auf ihrem Gästeportal. Nachdem Google seine OAuth-Infrastruktur aktualisiert hatte, befanden sich die neuen Authentifizierungsdomänen nicht im Walled Garden. Gäste konnten die Portalseite erreichen, aber die Social-Login-Buttons zeigten nur leere Bildschirme an. Das IT-Team der Kette verbrachte zwei Tage mit der Diagnose des Problems, bevor es die Lücke im Walled Garden identifizierte. Nach der Identifizierung dauerte die Behebung 10 Minuten. Die Lektion: Codieren Sie niemals IP-Adressen in Ihrem Walled Garden für cloudbasierte OAuth-Anbieter fest ein. Verwenden Sie Wildcard-Domain-Einträge und überprüfen Sie diese vierteljährlich. Nun zu einigen schnellen Fragen, die wir regelmäßig von IT-Teams in Veranstaltungsorten hören. Warum funktioniert das Portal auf iPhones, aber nicht auf Android-Geräten? Android verwendet connectivitycheck.gstatic.com als Probe-URL. Wenn diese Domain von Ihrer Firewall blockiert wird oder sich nicht in Ihrem Walled Garden befindet, lösen Android-Geräte das Portal niemals aus. Fügen Sie sie explizit hinzu. Ein Gast sagt, das Portal wurde geladen, aber er kann nach dem Login nicht online gehen. Dies ist fast immer ein RADIUS-Autorisierungsfehler. Überprüfen Sie, ob Ihr RADIUS-Server vom Wireless-Controller aus erreichbar ist, verifizieren Sie, dass das Shared Secret auf beiden Seiten übereinstimmt, und überprüfen Sie die RADIUS-Protokolle auf Access-Reject-Meldungen. Wie gehen wir mit Gästen um, die nach wenigen Minuten immer wieder abgemeldet werden? Überprüfen Sie Ihre Idle-Timeout-Einstellung. Viele Controller sind standardmäßig auf ein Idle-Timeout von 5 Minuten eingestellt, was für Mobilgeräte, die zwischen Interaktionen in den Ruhezustand wechseln, viel zu aggressiv ist. Stellen Sie das Idle-Timeout für Hotellerie- und Einzelhandelsumgebungen auf mindestens 30 Minuten ein. Zusammenfassend die wichtigsten Punkte des heutigen Briefings: Ausfälle von Gäste WiFi Captive Portals fallen in sechs Kategorien: DHCP-Pool-Erschöpfung, DNS-Interception-Fehler, unvollständiger Walled Garden, Blockierung durch HSTS-Weiterleitung, aktives VPN auf dem Client-Gerät und MAC-Adress-Randomisierung. Jedes Problem hat eine spezifische, testbare Lösung. Die sofortigen Maßnahmen für Ihr IT-Team sind: Überprüfen Sie Ihre DHCP-Lease-Zeiten und Subnetz-Größen, validieren Sie Ihren Walled Garden mit den aktuellen OAuth-Domains Ihrer Social-Login-Anbieter und testen Sie Ihr Portal nach jeder Konfigurationsänderung von einem neuen, nicht authentifizierten Gerät aus.Bewerten Sie für Ihre längerfristige Roadmap OpenRoaming als Nachfolger der Captive Portal-Reauthentifizierung für wiederkehrende Besucher. Die Technologie ist ausgereift, die Standards sind unter IEEE 802.1X und WPA3-Enterprise etabliert, und Purple stellt sie ohne zusätzliche Softwarekosten im Connect-Tarif zur Verfügung. Purple ist an über 80.000 Standorten im Einsatz und hat allein im Jahr 2024 bereits 440 Millionen Logins verarbeitet. Wir haben jedes in diesem Briefing beschriebene Fehlerszenario erlebt - und die Tools entwickelt, um sie zu verhindern. Wenn Sie erfahren möchten, wie sich das Cloud-Overlay von Purple in Ihre bestehende Infrastruktur von Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist integrieren lässt, besuchen Sie purple.ai oder sprechen Sie mit Ihrem Account Manager. Vielen Dank für Ihre Aufmerksamkeit.

Executive Summary

header_image.png

Ein Gast verbindet sich mit Ihrem WiFi, aber die Login-Seite lädt nicht. Er sieht die Warnung "Verbunden, kein Internet" und gibt auf. Für Venue Operations Directors und IT-Manager bedeutet dieser Fehler eine direkte Verschlechterung des Gästeerlebnisses, ein erhöhtes Aufkommen an Support-Tickets und eine verpasste Chance zur Erfassung von First-Party-Daten, welche die Investitionen in die Wireless-Infrastruktur rechtfertigen.

Dieser Leitfaden erklärt genau, wie die Erkennung von Captive Portals auf Betriebssystemebene funktioniert, und identifiziert die sechs Hauptursachen, die für die meisten Verbindungsfehler verantwortlich sind. Er bietet ein praktisches, herstellerneutrales Framework zur Fehlerbehebung bei DHCP-Erschöpfung, Fehlern bei der DNS-Abfangung, unvollständigen Walled Gardens, blockierten HSTS-Weiterleitungen, aktiven VPN-Konflikten und Problemen mit der MAC-Adressen-Randomisierung.

Technischer Deep-Dive: Wie die Erkennung von Captive Portals wirklich funktioniert

Um Fehler bei einem Captive Portal zu beheben, müssen Sie zunächst verstehen, was ein Captive Portal auf Netzwerkebene eigentlich tut. Es ist nicht einfach nur eine Login-Seite - es ist ein Mechanismus zum Abfangen von Datenverkehr auf Netzwerkebene.

Wenn sich ein Gästegerät mit einer Gäste-SSID verbindet, erhält es über DHCP eine IP-Adresse. Das Betriebssystem wartet nicht darauf, dass der Benutzer einen Browser öffnet. Stattdessen sendet ein Hintergrund-Systemdienst sofort eine unverschlüsselte HTTP-GET-Anfrage an eine vom Hersteller kontrollierte Probe-URL. Apple-Geräte fragen captive.apple.com ab. Android-Geräte fragen connectivitycheck.gstatic.com ab. Windows-Geräte fragen msftconnecttest.com ab. Firefox fragt detectportal.firefox.com ab.

Wenn das Netzwerk freien Internetzugang hat, geben diese Probes die erwartete Antwort "HTTP 200 OK" zurück, und das Betriebssystem entscheidet, dass die Verbindung aktiv ist. In einem Gästenetzwerk fängt das Wireless Gateway oder der Controller diese HTTP-Probe jedoch ab, bevor sie das Internet erreichen kann. Anstelle der erwarteten Antwort gibt das Gateway einen HTTP 307 Temporary Redirect zurück, der auf die Splash Page des Captive Portals verweist. Das Betriebssystem erkennt diese unerwartete Weiterleitung, stellt fest, dass es sich hinter einem Captive Portal befindet, und öffnet ein Sandbox-Browserfenster (Captive Network Assistant), um die Login-Seite anzuzeigen.

portal_architecture_diagram.png

Fehlerbehebung & Risikominderung: Die 6 Hauptursachen für Fehler

Wenn ein Captive Portal nicht geladen werden kann, liegt das Problem fast immer an einem von sechs spezifischen Fehlerszenarien.

root_causes_infographic.png

1. DHCP-Pool-Erschöpfung

Dies ist ein stiller Killer bei Veranstaltungen mit hoher Dichte. Wenn Sie eine Konferenz mit 2.000 Teilnehmern veranstalten und ein Standard-/24-Subnetz verwenden, stehen Ihnen nur 254 nutzbare IP-Adressen zur Verfügung. Wenn Ihre DHCP-Lease-Time auf den Standardwert von 24 Stunden eingestellt ist, ist Ihr Pool innerhalb von Minuten nach der Türöffnung erschöpft. Jeder weitere Verbindungsversuch schlägt fehl, noch bevor die Captive Portal-Sequenz überhaupt beginnt.

Lösung: Stellen Sie die DHCP-Lease-Time für Gäste in Umgebungen mit hoher Fluktuation auf 15 bis 30 Minuten ein. Dimensionieren Sie Ihre Subnetze nach den Spitzenwerten der gleichzeitigen Nutzer, nicht nur nach der durchschnittlichen Teilnehmerzahl. Ein /22-Subnetz bietet 1.022 nutzbare Adressen, was die empfohlene Mindestgröße für Unternehmensstandorte ist.

2. DNS-Interzeptionsfehler

Die Umleitung des Captive Portals beruht darauf, dass das Gateway einen HTTP-Probe abfängt. Dieser Probe erfordert jedoch zunächst eine DNS-Abfrage. Wenn Ihre DNS-Konfiguration nicht authentifizierten Clients die Auflösung externer Domänennamen nicht erlaubt, wird der Probe niemals ausgelöst.

Lösung: Stellen Sie sicher, dass Ihre Firewall-Richtlinien DNS-Anfragen (Port 53) von nicht authentifizierten Clients explizit zulassen. Führen Sie eine Paketerfassung auf einem Testgerät durch, um zu überprüfen, ob Ihre DNS-Interzeption funktioniert.

3. Unvollständiger Walled Garden

Der Walled Garden (Zugriffskontrollliste vor der Authentifizierung) definiert, welche externen Domänen von nicht authentifizierten Gästen erreicht werden können. Wenn Ihre Portal-Splash-Page Assets von einem CDN lädt, das nicht im Walled Garden enthalten ist, wird die Seite als leerer Bildschirm dargestellt. Wenn Sie Social-Logins über Google, Apple oder Microsoft Entra ID anbieten, muss jede einzelne OAuth-Domäne, die von diesen Anbietern verwendet wird, auf der Whitelist stehen. Social-Identity-Provider aktualisieren regelmäßig ihre CDN-IP-Bereiche und Authentifizierungsdomänen - ein Walled Garden, der vor sechs Monaten perfekt funktionierte, kann von heute auf morgen ausfallen.

Lösung: Planen Sie vierteljährliche Walled Garden-Audits. Wenn Ihre Hardware dies unterstützt, verwenden Sie Wildcard-Domain-Snooping, das nativ auf Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist verfügbar ist. Purple pflegt und aktualisiert diese Walled Garden-Einträge automatisch als Teil unseres Cloud-Managed-Service.

4. HSTS-Umleitungsblockierung

HTTP Strict Transport Security (HSTS) ist eine Sicherheitsrichtlinie für Browser, die Verbindungen zu bestimmten Domänen nur über HTTPS erzwingt. Wenn ein Gästegerät versucht, mit einer vorab geladenen HSTS-Domäne zu kommunizieren, und Ihr Gateway versucht, diese HTTPS-Anfrage abzufangen, um sie auf das Portal umzuleiten, erkennt der Browser eine Zertifikatsabweichung. Dies führt zu einer unvermeidbaren Sicherheitswarnung und blockiert die Umleitung vollständig. Lösung: Versuchen Sie niemals, eine HTTPS-Interception für die erste Weiterleitung durchzuführen. Stellen Sie sicher, dass Ihr Gateway nur unverschlüsselte HTTP-Canary-Probes weiterleitet. Die langfristige, standardbasierte Lösung ist RFC 8910, das die DHCP-Option 114 definiert. Diese Option ermöglicht es Ihrem DHCP-Server, die URL des Captive Portal direkt an das Client-Gerät zu übermitteln, wodurch die Notwendigkeit einer HTTP-Weiterleitung vollständig entfällt. iOS 14 und Android 11 und höher unterstützen dies nativ.

5. Aktives VPN auf dem Client-Gerät

Ein VPN verschlüsselt den gesamten Datenverkehr des Geräts und leitet ihn durch einen externen Tunnel, bevor er Ihr Gateway erreicht. Ihr Gateway sieht den HTTP-Probe-Aufruf nie, sodass die Erkennungssequenz für das Captive Portal nie ausgelöst wird. Gäste sehen weder eine Anmeldeseite noch das Internet.

Lösung: Der Gast muss das VPN deaktivieren, sich mit dem Portal verbinden und das VPN anschließend wieder aktivieren. Für das Servicepersonal vor Ort sollte die Frage, ob der Gast ein VPN verwendet, der erste Schritt zur Fehlerbehebung sein.

6. Unterbrechung der Sitzungspersistenz durch MAC-Adressen-Randomisierung

Moderne iOS und Android Geräte verwenden standardmäßig randomisierte MAC-Adressen als Datenschutzfunktion. Jedes Mal, wenn sich ein Gerät mit einem Netzwerk verbindet, präsentiert es möglicherweise eine andere MAC-Adresse. Da der Sitzungsstatus des Captive Portal über die MAC-Adresse nachverfolgt wird, kann einem Gast, der sich vor einer Stunde authentifiziert hat, nach einer Änderung der MAC-Adresse seines Geräts die Anmeldeseite erneut angezeigt werden.

Lösung: Die Lösung für Gäste besteht darin, die private Adresse für Ihre spezifische SSID in ihren Netzwerkeinstellungen zu deaktivieren. Die betreiberseitige Lösung besteht darin, eine profilbasierte Authentifizierung wie Passpoint und OpenRoaming über 802.1X zu implementieren, die auf Layer 2 mithilfe von Anmeldedaten anstelle von MAC-Adressen authentifiziert, wodurch die Randomisierung irrelevant wird.

Implementierungsleitfaden: Aufbau einer resilienten Architektur

Die Bereitstellung eines gut konfigurierten Captive Portal erfordert aktive architektonische Entscheidungen.

  1. Überprüfen Sie Ihren Walled Garden vor jedem großen Event. Die minimal erforderlichen Einträge sind: der FQDN Ihres Portals und alle zugehörigen CDN-Domains, die Erkennungs-URLs für das Captive Portal von Apple, Google, Windows und Firefox sowie die OAuth-Domains für jeden von Ihnen unterstützten Social-Login-Anbieter.
  2. Verwenden Sie ein öffentlich vertrauenswürdiges TLS-Zertifikat. Selbstsignierte Zertifikate lösen auf jedem Gerät Browserwarnungen aus. Erneuern Sie Zertifikate vor dem Ablaufdatum - ein abgelaufenes Zertifikat ist eine der häufigsten Ursachen für plötzliche, standortweite Ausfälle des Portals.
  3. Testen Sie in einem neuen, nicht authentifizierten Zustand. Wenn Sie das Portal von einem zuvor authentifizierten Gerät aus testen, wird das Portal vollständig umgangen, da die Sitzung noch aktiv ist. Testen Sie immer mit einem neuen Gerät oder einem Gerät, bei dem Sie das Netzwerk ignoriert und das WiFi-Profil gelöscht haben.
  4. Passen Sie Idle-Timeouts an. Viele Controller sind standardmäßig auf ein Idle-Timeout von 5 Minuten eingestellt, was für Mobilgeräte, die zwischen den Interaktionen in den Ruhemodus wechseln, sehr aggressiv ist. Stellen Sie das Idle-Timeout in der Gastronomie und im Einzelhandel auf mindestens 30 Minuten ein.

ROI und geschäftliche Auswirkungen

Captive Portals sind eine ausgereifte Technologie, weisen jedoch einige inhärente Komplexitäten auf. Das strategische Ziel besteht darin, sich in Richtung einer nahtlosen und sicheren Authentifizierung zu bewegen.

OpenRoaming, basierend auf Passpoint und 802.1X, hilft wiederkehrenden Gästen, sich automatisch und sicher zu verbinden, ohne jemals eine Anmeldeseite zu sehen. Im Rahmen unseres Connect-Tarifs fungiert Purple als kostenloser Identity Provider für OpenRoaming. Veranstaltungsorte wie Premier Inn und die Manchester Airports Group nutzen dies bereits, um den Aufwand einer erneuten Authentifizierung für wiederkehrende Besucher zu vermeiden, während gleichzeitig die volle GDPR-Konformität und die Erfassung von First-Party-Daten gewahrt bleiben. Durch die Reduzierung von Verbindungsfehlern können Sie das Volumen der erfassten First-Party-Daten direkt steigern und so die Kundenbindung sowie das personalisierte Engagement fördern.

Technischer Briefing-Podcast

Hören Sie sich eine detaillierte Aufschlüsselung dieser Schritte zur Fehlerbehebung von unserem Senior Solutions Architect in unserem 10-minütigen technischen Briefing an.

Schlüsseldefinitionen

Captive Portal

Ein Mechanismus zur Abfangung des Datenverkehrs auf Netzwerkebene, der den Internetzugang einschränkt, bis ein Benutzer eine erforderliche Aktion ausführt, wie das Akzeptieren von Bedingungen oder die Eingabe von Anmeldedaten auf einer Splash Page.

Die primäre Methode für Unternehmen und Veranstaltungsorte, um den Gästezugang zu sichern und First-Party-Daten zu erfassen.

Walled Garden

Eine Zugriffssteuerungsliste vor der Authentifizierung (Pre-Authentication Access Control List), die festlegt, welche externen IP-Adressen oder Domänen ein nicht authentifiziertes Gästegerät erreichen darf.

Entscheidend für die Freigabe des Zugriffs auf Portal-Inhalte, CDNs und OAuth-Identity-Provider, bevor der Benutzer vollständig authentifiziert ist.

Captive Network Assistant (CNA)

Ein vom Betriebssystem automatisch geöffnetes, in einer Sandbox ausgeführtes Browserfenster mit eingeschränkter Funktionalität, sobald eine Weiterleitung durch ein Captive Portal erkannt wird.

Dies ist die Benutzeroberfläche, auf der der Gast Ihre Anmeldeseite tatsächlich sieht und mit ihr interagiert.

HSTS (HTTP Strict Transport Security)

Ein Sicherheitsverfahren für Webseiten, das Websites vor Man-in-the-Middle-Angriffen schützt, indem es Browser zwingt, ausschließlich über sichere HTTPS-Verbindungen mit ihnen zu kommunizieren.

HSTS verhindert, dass Gateways HTTPS-Interception nutzen, um Benutzer zu einem Captive Portal weiterzuleiten, was bei falscher Konfiguration zu Verbindungsfehlern führt.

DHCP Pool Exhaustion

Ein Zustand, in dem ein DHCP-Server alle verfügbaren IP-Adressen in seinem konfigurierten Subnetz zugewiesen hat, wodurch neue Geräte dem Netzwerk nicht mehr beitreten können.

Eine häufige Ursache für "Verbunden, kein Internet"-Fehler in Umgebungen mit hoher Dichte wie Stadien oder Konferenzen.

MAC Address Randomisation

Eine Datenschutzfunktion in modernen mobilen Betriebssystemen, die für jedes WiFi-Netzwerk eine zufällige MAC-Adresse generiert, um ein Tracking über verschiedene Standorte hinweg zu verhindern.

Diese Funktion unterbricht die Sitzungsbeständigkeit auf Captive Portals und zwingt Gäste zur erneuten Authentifizierung, wenn sich ihre MAC-Adresse ändert.

OpenRoaming

Ein Verbund von WiFi Netzwerken, der es Nutzern ermöglicht, sich automatisch und sicher mit teilnehmenden Netzwerken zu verbinden, ohne Anmeldedaten einzugeben oder mit einem Captive Portal zu interagieren.

Der strategische Nachfolger von Captive Portals für wiederkehrende Besucher, unterstützt von Purple als kostenloser Identity Provider.

RFC 8910 (DHCP Option 114)

Ein Standard, der es einem DHCP-Server ermöglicht, dem Client-Gerät während der IP-Adresszuweisung die URL des Captive Portals direkt bereitzustellen.

Dies umgeht die Notwendigkeit einer HTTP-Weiterleitung vollständig, löst durch HSTS verursachte Probleme und verbessert die Geschwindigkeit der Portal-Erkennung.

Ausgearbeitete Beispiele

Ein Hotel mit 350 Zimmern im Zentrum von London betreibt ein einzelnes /24-Subnetz für das Gäste-WiFi. Während einer großen Konferenz treffen 400 Delegierte gleichzeitig ein. Innerhalb von 20 Minuten berichten Gäste, dass sie zwar verbunden sind, aber weder das Portal noch das Internet erreichen können.

Die sofortige Lösung besteht darin, das Subnetz auf /22 zu erweitern, was 1.022 nutzbare Adressen bereitstellt, und die DHCP-Lease-Zeit von 24 Stunden auf 8 Stunden zu verkürzen. Die langfristige Lösung ist die Implementierung des Cloud-gesteuerten Captive Portal von Purple, das die Auslastung des DHCP-Pools in Echtzeit überwacht und das Netzwerkteam alarmiert, bevor eine Erschöpfung eintritt.

Kommentar des Prüfers: Dieses Szenario zeigt eine klassische Erschöpfung des DHCP-Pools. Ein /24-Subnetz bietet nur 254 nutzbare IP-Adressen. Durch die Erhöhung der Subnetzgröße und die Verkürzung der Lease-Zeit kann das Netzwerk den für Konferenzen typischen hohen Gerätedurchlauf bewältigen.

Eine große Einzelhandelskette mit 200 Geschäften nutzt Social Login über Google und Facebook auf ihrem Gästeportal. Nach einer Aktualisierung der OAuth-Infrastruktur durch Google können Gäste die Portalseite zwar erreichen, die Social-Login-Buttons zeigen jedoch nur leere Bildschirme an.

Das IT-Team muss die neuen, von Google verwendeten Authentifizierungsdomänen identifizieren und sie dem Walled Garden (Pre-Authentication Access Control List) hinzufügen. Um dies in Zukunft zu verhindern, sollten sie Wildcard-Domain-Einträge (z. B. *.google.com) anstelle von fest hinterlegten IP-Adressen verwenden und den Walled Garden vierteljährlich überprüfen.

Kommentar des Prüfers: Dies verdeutlicht die Anfälligkeit statischer Walled Gardens bei der Nutzung von OAuth-Drittanbietern. Cloud-basierte Identity Provider ändern häufig ihre IP-Bereiche und CDN-Domains. Wildcard-Snooping, das von Enterprise-Hardware wie Cisco Meraki und HPE Aruba nativ unterstützt wird, ist der richtige architektonische Ansatz.

Übungsfragen

Q1. Der IT-Leiter eines Stadions berichtet, dass in der Halbzeitpause tausende Fans versuchen, sich mit dem Gäste-WiFi zu verbinden. Das Portal lädt bei einigen, aber viele berichten, dass ihre Geräte bei „IP-Adresse wird abgerufen“ hängen bleiben oder „Verbunden, kein Internet“ anzeigen, noch bevor das Portal überhaupt erscheint. Was ist die wahrscheinlichste architektonische Schwachstelle?

Hinweis: Berücksichtigen Sie das Volumen der gleichzeitigen Verbindungen im Vergleich zu den verfügbaren Ressourcen im Netzwerksegment.

Musterlösung anzeigen

Im Netzwerk kommt es zu einer DHCP-Pool-Erschöpfung. Das Subnetz ist wahrscheinlich zu klein dimensioniert (z. B. ein /24) für die maximale Anzahl gleichzeitiger Nutzer, und die DHCP-Lease-Zeit ist vermutlich zu hoch eingestellt. Der empfohlene Ansatz besteht darin, die Subnetzgröße zu erhöhen (z. B. auf ein /22 oder /21) und die DHCP-Lease-Zeit an die erwartete Verweildauer anzupassen (z. B. 3 Stunden für ein Stadion).

Q2. Ein Gast verbindet sich mit Ihrem Einzelhandels-WiFi-Netzwerk. Sein Gerät zeigt eine Sicherheitswarnung mit dem Hinweis „Ihre Verbindung ist nicht privat“ an, wenn er versucht, eine bekannte Website zu laden, und das Captive Portal erscheint nie. Welcher Mechanismus verursacht diese Blockade?

Hinweis: Denken Sie daran, wie moderne Browser mit erzwungenen Weiterleitungen bei sicheren Verbindungen umgehen.

Musterlösung anzeigen

HSTS (HTTP Strict Transport Security) blockiert die Weiterleitung. Der Gast hat versucht, eine in der HSTS-Preload-Liste eingetragene Domain (über HTTPS) aufzurufen, und das Wireless Gateway hat versucht, diese sichere Verbindung abzufangen, um auf das Portal weiterzuleiten. Der Browser hat die Zertifikatsabweichung erkannt und die Verbindung blockiert. Das Gateway muss so konfiguriert werden, dass es nur unverschlüsselte HTTP-Probes abfängt.

Q3. Sie haben vor Kurzem die Social-Login-Optionen Google und Microsoft Entra ID auf Ihrem Captive Portal aktiviert. Gäste berichten, dass die Portalseite lädt, aber das Klicken auf die Login-Buttons zu einem Timeout führt. Beim Testen im uneingeschränkten Mitarbeiternetzwerk der IT-Abteilung funktioniert das Portal einwandfrei. Welche Konfiguration fehlt?

Hinweis: Berücksichtigen Sie den Netzwerkstatus des Gastgeräts, bevor die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Der Walled Garden (Zugriffskontrollliste vor der Authentifizierung) ist unvollständig. Die von Google und Microsoft Entra ID verwendeten OAuth-Authentifizierungsdomains und CDNs wurden nicht auf die Whitelist gesetzt. Da der Gast nicht authentifiziert ist, blockiert das Gateway den Zugriff auf diese externen Domains, was zu einem Timeout beim Social-Login-Prozess führt. Das IT-Team muss Wildcard-Einträge für diese Identity Provider zum Walled Garden hinzufügen.

Weiterlesen in dieser Reihe

Fehlerbehebung bei Captive Portal Weiterleitungen: Behebung von Verbindungsfehlern beim Gäste WiFi

Wenn Gäste sich mit Ihrem WiFi verbinden, aber nicht auf das Internet zugreifen können, ist die Ursache fast immer eine falsch konfigurierte Captive Portal Weiterleitung - nicht ein Hardwarefehler. Dieser Leitfaden bietet eine tiefgehende technische Referenz für IT-Manager, Netzwerkarchitekten und CTOs zur Diagnose und Behebung der gesamten Kette von Fehlern: von Verbindungstests auf Betriebssystemebene und HSTS-Zertifikatskonflikten bis hin zu RADIUS-Autorisierungslücken und DHCP-Erschöpfung. Er ordnet jedes Fehlermuster einer konkreten Lösung zu und zeigt, wie das hardwareunabhängige Cloud-Overlay von Purple diese Probleme bei Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet Bereitstellungen beseitigt.

Leitfaden lesen →

Die 10 häufigsten Ursachen für DHCP-Timeouts in hochdichten Wireless-Netzwerken

Dieser maßgebliche technische Leitfaden identifiziert die zehn häufigsten Ursachen für DHCP-Timeouts in hochdichten Wireless-Netzwerken und bietet praxisnahe, herstellerneutrale Behebungsstrategien. Er wurde für IT-Leiter, Netzwerkarchitekten und Betriebsleiter von Veranstaltungsorten konzipiert und deckt tiefgehende technische Prinzipien, schrittweise Implementierungsworkflows und messbare Geschäftsergebnisse ab. Erfahren Sie, wie Sie Verbindungsengpässe beseitigen und Ihre Wireless-Infrastruktur optimieren, um eine nahtlose Konnektivität in anspruchsvollen Unternehmensumgebungen bereitzustellen.

Leitfaden lesen →

Nutzung von Packet Capture (PCAP) zur Diagnose langsamer WiFi-Leistung

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Venue Operations Directors eine strukturierte Methodik auf Paketebene zur Diagnose und Behebung langsamer Enterprise-WiFi-Performance mithilfe der Packet Capture (PCAP)-Analyse. Durch die Analyse nackter 802.11-Frames – einschließlich Retransmission-Rates, Airtime-Auslastung und Metadaten des Physical Layers – können Teams Engpässe auf der RF-Schicht präzise von kabelgebundenen oder anwendungsbezogenen Problemen isolieren. Dieser Leitfaden ist auf High-Density-Veranstaltungsorte wie Hotels, Einzelhandelsketten, Stadien und Konferenzzentren anwendbar und liefert praxisnahe Diagnose-Workflows, reale Fallstudien und Schritte zur Konfigurationsbehebung, um Netzwerkkapazitäten zurückzugewinnen und das Gästeerlebnis zu schützen.

Leitfaden lesen →