Fehlerbehebung bei öffentlichem WiFi: Behebung von „Verbunden, kein Internet“ und Fehlern bei der Splash-Page-Weiterleitung

Dieser maßgebliche technische Leitfaden erklärt die grundlegenden Mechanismen der Erkennung von Captive Portals und beschreibt detailliert die sechs primären Fehlermodi, die eine Verbindung mit dem Gäste-WiFi verhindern. Er bietet IT-Managern und Netzwerkarchitekten ein praktisches Framework zur Fehlerbehebung bei HTTP-Weiterleitungsproblemen, DNS-Konflikten und Herausforderungen bei der MAC-Randomisierung.

📖 6 Min. Lesezeit📝 1,303 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen zu diesem technischen Briefing von Purple. Heute befassen wir uns mit einem der hartnäckigsten und am meisten missverstandenen Probleme in drahtlosen Unternehmensnetzwerken: dem Captive Portal für Gäste-WiFi, das sich einfach nicht laden lässt.

Sie kennen das bestimmt. Ein Gast kommt in Ihr Hotel, Ihr Einzelhandelsgeschäft, Ihr Stadion oder Ihr Konferenzzentrum. Er verbindet sich mit dem WiFi-Netzwerk. Nichts passiert. Keine Anmeldeseite. Kein Internet. Nur ein Ladesymbol und eine wachsende Frustration. Für Standortleiter und IT-Manager ist dieser Moment nicht nur eine kleine Unannehmlichkeit. Er stellt ein direktes Scheitern Ihres Gasterlebnisses dar, sorgt für einen sprunghaften Anstieg der Support-Anrufe am Empfang und bedeutet eine verpasste Gelegenheit, First-Party-Daten zu erfassen, die Ihre Investition in die drahtlose Infrastruktur rechtfertigen.

In diesem Briefing blicken wir hinter die Kulissen. Wir erklären genau, wie die Erkennung von Captive Portals auf Betriebssystemebene funktioniert, identifizieren die sechs Hauptursachen, die für die überwiegende Mehrheit der Verbindungsausfälle verantwortlich sind, und geben Ihnen ein praktisches, sofort umsetzbares Troubleshooting-Framework an die Hand, das Sie noch heute an Ihr IT-Team weitergeben können.

Beginnen wir mit der Funktionsweise. Die meisten Menschen halten ein Captive Portal einfach für eine Anmeldeseite. In Wirklichkeit handelt es sich um einen Mechanismus zum Abfangen von Datenverkehr auf Netzwerkesbene, und dieser Unterschied ist von enormer Bedeutung, wenn Fehler auftreten.

Hier ist der Ablauf. Das Gerät eines Gasts verbindet sich mit Ihrer Gäste-SSID und erhält über DHCP eine IP-Adresse. In diesem Moment wartet das Betriebssystem nicht darauf, dass der Benutzer einen Browser öffnet. Im Hintergrund sendet ein Systemdienst sofort eine unverschlüsselte HTTP-GET-Anfrage an eine herstellergesteuerte Probe-URL. Apple-Geräte fragen captive.apple.com ab. Android-Geräte fragen connectivitycheck.gstatic.com ab. Windows-Geräte fragen msftconnecttest.com ab. Firefox hat seine eigene Abfrage unter detectportal.firefox.com.

Wenn das Netzwerk über einen offenen Internetzugang verfügt, geben diese Abfragen die erwarteten Antworten zurück, und das Betriebssystem geht davon aus, dass alles in Ordnung ist. In einem Gästenetzwerk fängt Ihr Wireless-Gateway oder -Controller diese HTTP-Abfrage jedoch ab, bevor sie das Internet erreicht. Anstelle der erwarteten Antwort gibt das Gateway eine HTTP-307-Weiterleitung zurück, die auf die Splash-Page Ihres Captive Portals verweist. Das Betriebssystem erkennt die unerwartete Weiterleitung, stellt fest, dass es sich hinter einem Captive Portal befindet, und öffnet ein Sandbox-Browserfenster – oft als "Captive Network Assistant" bezeichnet –, um die Anmeldeseite anzuzeigen.

Das ist der Optimalfall. Lassen Sie uns nun über die sechs Wege sprechen, wie dieser Prozess fehlschlagen kann.

Hauptursache Nummer eins: Erschöpfung des DHCP-Pools. Dies ist der stille Killer bei Veranstaltungen mit hoher Dichte. Wenn Sie eine Konferenz mit zweitausend Teilnehmern in einem Standard-Slash-24-Subnetz durchführen, stehen Ihnen 254 nutzbare IP-Adressen zur Verfügung. Wenn Ihre DHCP-Lease-Zeit auf den Standardwert von 24 Stunden eingestellt ist, ist dieser Pool innerhalb von Minuten nach Türöffnung erschöpft. Jeder nachfolgende Verbindungsversuch schlägt fehl, noch bevor die Captive Portal-Sequenz überhaupt beginnt. Die Lösung ist einfach: Stellen Sie die DHCP-Lease-Zeiten für Gäste in Umgebungen mit hohem Durchsatz auf 15 bis 30 Minuten ein und dimensionieren Sie Ihre Subnetze angemessen für die maximale Anzahl gleichzeitiger Benutzer, nicht nur für die Gesamtzahl der Personen.

Hauptursache Nummer zwei: DNS-Abfangfehler. Die Weiterleitung zum Captive Portal hängt davon ab, dass das Gateway den HTTP-Probe abfängt. Der Probe erfordert jedoch zunächst eine DNS-Abfrage. Wenn Ihre DNS-Konfiguration es nicht authentifizierten Clients nicht erlaubt, externe Domainnamen aufzulösen, wird der Probe niemals ausgelöst. Stellen Sie sicher, dass Ihre Firewall-Richtlinie DNS-Abfragen von nicht authentifizierten Clients explizit zulässt, und überprüfen Sie, ob Ihr DNS-Abfangen funktioniert, indem Sie eine Paketaufzeichnung auf einem Testgerät durchführen.

Hauptursache Nummer drei: Unvollständiger Walled Garden. Der Walled Garden – auch als Pre-Authentication Access Control List bezeichnet – definiert, welche externen Domains nicht authentifizierte Gäste erreichen können. Wenn Ihre Portal-Splash-Page Assets von einem CDN lädt, das sich nicht im Walled Garden befindet, wird die Seite als leerer Bildschirm gerendert. Wenn Sie Social Login über Google, Apple oder Facebook anbieten, muss jede OAuth-Domain, die diese Anbieter nutzen, auf der Whitelist stehen. Und hier ist der entscheidende Punkt: Social-Identity-Anbieter aktualisieren ihre CDN-IP-Bereiche und Authentifizierungsdomänen regelmäßig. Ein Walled Garden, der vor sechs Monaten perfekt funktionierte, kann heute unbemerkt fehlerhaft sein. Planen Sie vierteljährliche Walled Garden-Audits ein und nutzen Sie Wildcard-Domain-Snooping, sofern Ihre Hardware dies unterstützt. Auf Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist ist dies nativ verfügbar.

Hauptursache Nummer vier: HSTS blockiert die Weiterleitung. HTTP Strict Transport Security (HSTS) ist eine Sicherheitsrichtlinie für Browser, die Verbindungen zu bestimmten Domains ausschließlich über HTTPS erzwingt. Wenn das Gerät eines Gasts versucht, eine vorab in HSTS geladene Domain zu kontaktieren – und das betrifft praktisch jede größere Website – und Ihr Gateway versucht, diese HTTPS-Anfrage abzufangen, um sie zum Portal weiterzuleiten, erkennt der Browser eine Zertifikatsabweichung. Er zeigt eine nicht umgehbare Sicherheitswarnung an und blockiert die Weiterleitung vollständig. Die richtige Lösung besteht darin, niemals zu versuchen, HTTPS abzufangen. Ihr Gateway sollte nur die unverschlüsselten HTTP-Canary-Probes weiterleiten. Die langfristige, auf Standards basierende Lösung ist RFC 8910, das die DHCP-Option 114 definiert. Mit dieser Option kann Ihr DHCP-Server die URL des Captive Portal direkt an das Client-Gerät übermitteln, wodurch eine HTTP-Weiterleitung vollständig überflüssig wird. iOS 14 und Android 11 und höher unterstützen dies nativ.

Fehlerursache Nummer fünf: Ein aktives VPN auf dem Gastgerät. Ein VPN verschlüsselt den gesamten Datenverkehr des Geräts und leitet ihn über einen externen Tunnel um, bevor er Ihr Gateway erreicht. Ihr Gateway sieht den HTTP-Probe-Aufruf nie. Die Captive Portal-Erkennung wird gar nicht erst ausgelöst. Der Gast sieht weder die Anmeldeseite noch das Internet. Die Lösung für den Gast ist einfach: VPN deaktivieren, mit dem Portal verbinden und das VPN anschließend wieder aktivieren. Für Ihr Servicepersonal sollte dies die erste Frage sein, wenn ein Gast ein Verbindungsproblem meldet.

Fehlerursache Nummer sechs: Die Randomisierung von MAC-Adressen beeinträchtigt die Sitzungspermanenz. Moderne iOS- und Android-Geräte verwenden standardmäßig randomisierte MAC-Adressen als Datenschutzfunktion. Jedes Mal, wenn sich ein Gerät mit einem Netzwerk verbindet, präsentiert es möglicherweise eine andere MAC-Adresse. Da der Sitzungsstatus des Captive Portal über die MAC-Adresse nachverfolgt wird, sieht ein Gast, der sich vor einer Stunde authentifiziert hat, nach dem Wechsel der MAC-Adresse seines Geräts eventuell erneut die Anmeldeseite. Die Lösung auf Gastseite besteht darin, die Option „Private Adresse“ für Ihre spezifische SSID in den Netzwerkeinstellungen zu deaktivieren. Die Lösung auf Betreiberseite ist die Implementierung einer profilbasierten Authentifizierung – wie OpenRoaming über Passpoint und 802.1X –, die auf Layer 2 mit Anmeldedaten anstelle von MAC-Adressen authentifiziert, wodurch die Randomisierung hinfällig wird.

Sprechen wir nun über die Implementierung. Wie sieht eine gut konfigurierte Captive Portal-Bereitstellung in der Praxis tatsächlich aus?

Beginnen Sie mit Ihrer DHCP-Architektur. Bei jedem Veranstaltungsort, an dem mehr als 200 Geräte gleichzeitig erwartet werden, sollten Sie von einem einzelnen /24-Subnetz absehen. Verwenden Sie ein /22-Subnetz oder größer und passen Sie die Lease-Zeiten an das Verweildauerprofil Ihres Standorts an. Ein Hotel setzt Leases auf 8 Stunden. Ein Stadion setzt Leases auf 3 Stunden. Ein Einkaufszentrum setzt Leases auf 90 Minuten. Ein Konferenzzentrum setzt Leases auf 30 Minuten.

Als Nächstes sollten Sie Ihren Walled Garden vor jeder größeren Veranstaltung validieren. Die minimal erforderlichen Einträge sind: der vollqualifizierte Domainname (FQDN) Ihres Portals und alle zugehörigen CDN-Domains, die Captive Portal-Erkennungs-URLs für Apple, Google, Windows und Firefox sowie die OAuth-Domains für jeden von Ihnen unterstützten Social-Login-Anbieter. Auf der Plattform von Purple pflegen und aktualisieren wir diese Walled-Garden-Einträge automatisch als Teil unseres cloudbasierten Service, was Ihrem Team den manuellen Pflegeaufwand abnimmt.

Verwenden Sie für Ihr Portal-Zertifikat ein öffentlich vertrauenswürdiges TLS-Zertifikat einer anerkannten Zertifizierungsstelle. Selbstsignierte Zertifikate führen auf jedem Gerät zu Browser-Warnungen. Erneuern Sie Zertifikate vor dem Ablaufdatum – ein abgelaufenes Zertifikat ist eine der häufigsten Ursachen für plötzliche, standortweite Portal-Ausfälle.

Eine Falle, in die viele IT-Teams tappen: das Testen des Portals mit einem Gerät, das sich bereits zuvor authentifiziert hat. Die Sitzung Ihres Geräts ist noch aktiv, sodass Sie das Portal vollständig umgehen und daraus schließen, dass alles funktioniert. Testen Sie immer mit einem Gerät in einem frischen, unauthentifizierten Zustand – entweder mit einem neuen Gerät oder mit einem, bei dem Sie das Netzwerk ignoriert und das WiFi-Profil gelöscht haben.

Lassen Sie mich Ihnen zwei praktische Szenarien vorstellen, die diese Prinzipien veranschaulichen.

Szenario eins: Ein Hotel mit 350 Zimmern im Zentrum von London. Das Hotel betrieb ein einzelnes /24-Subnetz für das Gäste-WiFi. Während einer großen Konferenz trafen 400 Delegierte gleichzeitig ein. Innerhalb von 20 Minuten war der DHCP-Pool war erschöpft. Gäste meldeten, dass sie zwar verbunden waren, das Portal oder das Internet jedoch nicht erreichen konnten. Die sofortige Lösung bestand darin, das Subnetz auf /22 zu erweitern, was 1.022 nutzbare Adressen ermöglichte, und die Lease-Zeit von 24 Stunden auf 8 Stunden zu reduzieren. Die langfristige Lösung war die Implementierung des Cloud-managed Captive Portal von Purple, das die Auslastung des DHCP-Pools in Echtzeit überwacht und das Netzwerkteam alarmiert, bevor eine Erschöpfung eintritt. Die Portal-Ausfallrate sank innerhalb von 48 Stunden nach der Änderung auf fast Null.

Szenario zwei: Eine große Einzelhandelskette mit 200 Filialen. Die Kette nutzte Social-Login über Google und Facebook auf ihrem Gästeportal. Nachdem Google seine OAuth-Infrastruktur aktualisiert hatte, befanden sich die neuen Authentifizierungsdomänen nicht im Walled Garden. Gäste konnten die Portalseite erreichen, aber die Social-Login-Buttons zeigten nur leere Bildschirme an. Das IT-Team der Kette verbrachte zwei Tage mit der Diagnose des Problems, bevor es die Lücke im Walled Garden identifizierte. Nach der Identifizierung dauerte die Behebung 10 Minuten. Die Lehre daraus: Codieren Sie niemals IP-Adressen für Cloud-basierte OAuth-Anbieter fest in Ihren Walled Garden ein. Verwenden Sie Wildcard-Domain-Einträge und überprüfen Sie diese vierteljährlich.

Nun zu einigen kurzen Fragen, die wir regelmäßig von IT-Teams von Veranstaltungsorten hören.

Warum funktioniert das Portal auf iPhones, aber nicht auf Android-Geräten? Android verwendet connectivitycheck.gstatic.com als Probe-URL. Wenn diese Domain von Ihrer Firewall blockiert wird oder sich nicht in Ihrem Walled Garden befindet, lösen Android-Geräte das Portal niemals aus. Fügen Sie sie explizit hinzu.

Ein Gast berichtet, dass das Portal geladen wurde, er aber nach dem Login nicht online gehen kann. Dies ist fast immer ein RADIUS-Autorisierungsfehler. Überprüfen Sie, ob Ihr RADIUS-Server vom Wireless-Controller aus erreichbar ist, stellen Sie sicher, dass das Shared Secret auf beiden Seiten übereinstimmt, und überprüfen Sie die RADIUS-Protokolle auf Access-Reject-Meldungen.

Wie gehen wir mit Gästen um, die nach wenigen Minuten immer wieder abgemeldet werden? Überprüfen Sie Ihre Idle-Timeout-Einstellung. Viele Controller sind standardmäßig auf ein Idle-Timeout von 5 Minuten eingestellt, was für Mobilgeräte, die zwischen Interaktionen in den Ruhemodus wechseln, viel zu aggressiv ist. Stellen Sie das Idle-Timeout für das Hotel- und Gastgewerbe sowie den Einzelhandel auf mindestens 30 Minuten ein.

Zusammenfassend die wichtigsten Punkte des heutigen Briefings.

Ausfälle des Gäste-WiFi-Captive-Portals lassen sich in sechs Kategorien einteilen: Erschöpfung des DHCP-Pools, Fehler beim DNS-Abfangen, unvollständiger Walled Garden, Blockierung durch HSTS-Weiterleitung, aktives VPN auf dem Client-Gerät und MAC-Adressen-Randomisierung. Für jede Kategorie gibt es eine spezifische, testbare Lösung.

Für Ihr IT-Team sind die sofortigen Maßnahmen: Überprüfen Sie Ihre DHCP-Lease-Zeiten und Subnetzgrößen, validieren Sie Ihren Walled Garden anhand der aktuellen OAuth-Domains Ihrer Social-Login-Anbieter und testen Sie Ihr Portal nach jeder Konfigurationsänderung von einem neuen, nicht authentifizierten Gerät aus.

Für Ihre längerfristige Roadmap sollten Sie OpenRoaming als Nachfolger der Captive Portal-Reauthentifizierung für wiederkehrende Besucher evaluieren. Die Technologie ist ausgereift, die Standards sind unter IEEE 802.1X und WPA3-Enterprise etabliert, und Purple stellt sie ohne zusätzliche Softwarekosten im Rahmen des Connect-Tarifs zur Verfügung.

Purple ist an über 80.000 Standorten im Einsatz und hat allein im Jahr 2024 440 Millionen Logins verarbeitet. Wir haben jedes in diesem Briefing beschriebene Fehlerszenario erlebt – und die Tools entwickelt, um sie zu verhindern. Wenn Sie erfahren möchten, wie sich das Cloud-Overlay von Purple in Ihre bestehende Cisco Meraki-, HPE Aruba-, Ruckus- oder Juniper Mist-Infrastruktur integrieren lässt, besuchen Sie purple.ai oder sprechen Sie mit Ihrem Account Manager.

Vielen Dank für Ihre Aufmerksamkeit.

Wichtigste Erkenntnisse

✓Captive Portal-Fehler sind Probleme beim Abfangen des Datenverkehrs auf Netzwerkebene, nicht nur reine Webseitenfehler.
✓DHCP-Pool-Erschöpfung ist die Hauptursache für Verbindungsfehler in High-Density-Umgebungen; nutzen Sie größere Subnetze und kürzere Lease-Zeiten.
✓Walled Gardens müssen regelmäßig überprüft werden, um sicherzustellen, dass OAuth-Domains und CDNs für Social-Logins erreichbar bleiben.
✓Versuchen Sie niemals, HTTPS-Interception für Captive Portal-Weiterleitungen zu nutzen; HSTS wird die Verbindung blockieren.
✓Aktive VPNs auf Client-Geräten umgehen das Abfangen von HTTP-Probes und verhindern so das Laden des Portals.
✓OpenRoaming bietet eine nahtlose, sichere Alternative zu Captive Portals für wiederkehrende Gäste und eliminiert Reibungsverluste bei der Re-Authentifizierung.

Executive Summary

Ein Gast verbindet sich mit Ihrem WiFi, aber die Login-Seite wird nicht geladen. Er sieht die Warnung „Verbunden, kein Internet“ und bricht den Versuch ab. Für Standortleiter und IT-Manager bedeutet dieser Fehler einen direkten Einbruch der Customer Experience, einen sprunghaften Anstieg von Support-Tickets und eine verpasste Gelegenheit zur Erfassung von First-Party-Daten, die die Investition in die Wireless-Infrastruktur rechtfertigen.

Dieser Leitfaden erklärt genau, wie die Captive Portal-Erkennung auf Betriebssystemebene funktioniert, und identifiziert die sechs Hauptursachen, die für die überwiegende Mehrheit der Verbindungsfehler verantwortlich sind. Er bietet ein praktisches, herstellerneutrales Framework zur Fehlerbehebung bei DHCP-Erschöpfung, Fehlern bei der DNS-Interzeption, unvollständigen Walled Gardens, HSTS-Weiterleitungsblockaden, aktiven VPN-Konflikten und Problemen mit der MAC-Adressen-Randomisierung.

Technischer Deep-Dive: Wie die Captive Portal-Erkennung tatsächlich funktioniert

Um ein Captive Portal-Problem zu beheben, müssen Sie zunächst verstehen, was ein Captive Portal auf Netzwerkebene tut. Es handelt sich dabei nicht nur um eine Login-Seite, sondern um einen Mechanismus zur Abfangung des Datenverkehrs auf Netzwerkebene.

Wenn sich ein Gastgerät mit einer Gast-SSID verbindet, erhält es eine IP-Adresse über DHCP. Das Betriebssystem wartet nicht darauf, dass der Benutzer einen Browser öffnet. Stattdessen sendet ein Hintergrund-Systemdienst sofort eine unverschlüsselte HTTP-GET-Anfrage an eine vom Hersteller kontrollierte Probe-URL. Apple-Geräte fragen captive.apple.com ab. Android-Geräte fragen connectivitycheck.gstatic.com ab. Windows-Geräte fragen msftconnecttest.com ab. Firefox fragt detectportal.firefox.com ab.

Wenn das Netzwerk über einen offenen Internetzugang verfügt, geben diese Probes die erwarteten „HTTP 200 OK“-Antworten zurück, und das Betriebssystem geht davon aus, dass die Verbindung aktiv ist. In einem Gastnetzwerk fängt das Wireless Gateway oder der Controller diese HTTP-Probe jedoch ab, bevor sie das Internet erreicht. Anstelle der erwarteten Antwort gibt das Gateway einen HTTP 307 Temporary Redirect zurück, der auf die Splash Page des Captive Portals verweist. Das Betriebssystem erkennt diese unerwartete Weiterleitung, stellt fest, dass es sich hinter einem Captive Portal befindet, und öffnet ein Sandbox-Browserfenster (den Captive Network Assistant), um die Login-Seite anzuzeigen.

Fehlerbehebung & Risikominderung: Die 6 Hauptursachen für Fehler

Wenn das Captive Portal nicht geladen werden kann, liegt der Fehler fast immer in einem von sechs spezifischen Fehlermustern.

1. DHCP-Pool-Erschöpfung

Dies ist die lautlose Ursache bei Veranstaltungen mit hoher Dichte. Wenn Sie eine Konferenz mit 2.000 Teilnehmern in einem Standard-/24-Subnetz durchführen, stehen Ihnen 254 nutzbare IP-Adressen zur Verfügung. Wenn Ihre DHCP-Lease-Zeit auf den Standardwert von 24 Stunden eingestellt ist, wird dieser Pool innerhalb von Minuten nach der Türöffnung erschöpft sein. Jeder nachfolgende Verbindungsversuch schlägt fehl, noch bevor die Captive Portal-Sequenz überhaupt beginnt.

Die Lösung: Stellen Sie die DHCP-Lease-Zeiten für Gäste in Umgebungen mit hoher Fluktuation auf 15 bis 30 Minuten ein. Dimensionieren Sie Ihre Subnetze angemessen für die Spitzenzahl gleichzeitiger Benutzer, nicht nur für die Gesamtzahl der Personen. Ein /22-Subnetz bietet 1.022 nutzbare Adressen, was die für Unternehmensstandorte empfohlene Mindestgröße ist.

2. Fehler bei der DNS-Abfangung

Die Captive Portal-Weiterleitung hängt davon ab, dass das Gateway den HTTP-Probe abfängt. Der Probe erfordert jedoch zuerst eine DNS-Abfrage. Wenn Ihre DNS-Konfiguration es nicht authentifizierten Clients nicht erlaubt, externe Domainnamen aufzulösen, wird der Probe niemals ausgelöst.

Die Lösung: Stellen Sie sicher, dass Ihre Firewall-Richtlinie DNS-Anfragen (Port 53) von nicht authentifizierten Clients explizit zulässt. Überprüfen Sie, ob Ihre DNS-Abfangung funktioniert, indem Sie ein Packet Capture an einem Testgerät durchführen.

3. Unvollständiger Walled Garden

Der Walled Garden (Zugriffskontrollliste vor der Authentifizierung) definiert, welche externen Domains nicht authentifizierte Gäste erreichen können. Wenn Ihre Portal-Splash-Page Assets von einem CDN lädt, das sich nicht im Walled Garden befindet, wird die Seite als leerer Bildschirm gerendert. Wenn Sie Social Login über Google, Apple oder Microsoft Entra ID anbieten, muss jede OAuth-Domain, die diese Anbieter nutzen, auf der Whitelist stehen. Social Identity Provider aktualisieren ihre CDN-IP-Bereiche und Authentifizierungsdomains regelmäßig; ein Walled Garden, der vor sechs Monaten noch perfekt funktionierte, kann heute unbemerkt fehlerhaft sein.

Die Lösung: Planen Sie vierteljährliche Audits des Walled Garden ein. Nutzen Sie Wildcard-Domain-Snooping, sofern Ihre Hardware dies unterstützt. Auf Cisco Meraki, HPE Aruba, Ruckus und Juniper Mist ist dies nativ verfügbar. Purple pflegt und aktualisiert diese Walled Garden-Einträge automatisch als Teil unseres cloudbasierten Service.

4. HSTS-Weiterleitungsblockierung

HTTP Strict Transport Security (HSTS) ist eine Sicherheitsrichtlinie für Browser, die Verbindungen zu bestimmten Domains ausschließlich über HTTPS erzwingt. Wenn ein Gästegerät versucht, eine HSTS-vorab geladene Domain zu kontaktieren, und Ihr Gateway versucht, diese HTTPS-Anfrage abzufangen, um zum Portal weiterzuleiten, erkennt der Browser einen Zertifikatsfehler. Er zeigt eine nicht umgehbare Sicherheitswarnung an und blockiert die Weiterleitung vollständig.

Die Lösung: Versuchen Sie niemals, eine HTTPS-Interzeption für die erste Weiterleitung durchzuführen. Ihr Gateway sollte nur die unverschlüsselten HTTP-Canary-Probes weiterleiten. Die langfristige, standardbasierte Lösung ist RFC 8910, der die DHCP-Option 114 definiert. Diese Option ermöglicht es Ihrem DHCP-Server, die Captive Portal-URL direkt an das Client-Gerät zu übermitteln, wodurch eine HTTP-Weiterleitung vollständig überflüssig wird. iOS 14 und Android 11 und höher unterstützen dies nativ.

5. Aktives VPN auf dem Client-Gerät

Ein VPN verschlüsselt den gesamten Datenverkehr vom Gerät und leitet ihn durch einen externen Tunnel, bevor er Ihr Gateway erreicht. Ihr Gateway sieht die HTTP-Probe nie, sodass die Erkennungssequenz für das Captive Portal nie ausgelöst wird. Der Gast sieht weder die Anmeldeseite noch das Internet.

Die Lösung: Der Gast muss das VPN deaktivieren, sich mit dem Portal verbinden und das VPN anschließend wieder aktivieren. Für Service-Mitarbeiter vor Ort sollte die Frage, ob der Gast ein VPN verwendet, der erste Schritt bei der Fehlerbehebung sein.

6. MAC-Adressen-Randomisierung beeinträchtigt die Sitzungspermanenz

Moderne iOS- und Android-Geräte verwenden standardmäßig randomisierte MAC-Adressen als Datenschutzfunktion. Jedes Mal, wenn sich ein Gerät mit einem Netzwerk verbindet, präsentiert es möglicherweise eine andere MAC-Adresse. Da der Sitzungsstatus des Captive Portals anhand der MAC-Adresse nachverfolgt wird, wird einem Gast, der sich vor einer Stunde authentifiziert hat, nach der Rotation der MAC-Adresse seines Geräts möglicherweise erneut die Anmeldeseite angezeigt.

Die Lösung: Die gastseitige Lösung besteht darin, die Option "Private Adresse" für Ihre spezifische SSID in den Netzwerkeinstellungen zu deaktivieren. Die betreiberseitige Lösung besteht darin, eine profilbasierte Authentifizierung wie OpenRoaming über Passpoint und 802.1X zu implementieren, die auf Layer 2 anhand von Anmeldedaten statt anhand von MAC-Adressen authentifiziert, wodurch die Randomisierung irrelevant wird.

Implementierungsleitfaden: Aufbau einer resilienten Architektur

Eine gut konfigurierte Captive Portal-Bereitstellung erfordert proaktive Architekturentscheidungen.

Validieren Sie Ihr Walled Garden vor jedem größeren Event. Die mindestens erforderlichen Einträge sind: der FQDN Ihres Portals und alle zugehörigen CDN-Domains, die Captive Portal-Erkennungs-URLs für Apple, Google, Windows und Firefox sowie die OAuth-Domains für jeden von Ihnen unterstützten Social-Login-Anbieter.
Verwenden Sie ein öffentlich vertrauenswürdiges TLS-Zertifikat. Selbstsignierte Zertifikate führen auf jedem Gerät zu Browser-Warnungen. Erneuern Sie Zertifikate vor dem Ablaufdatum. Ein abgelaufenes Zertifikat ist eine der häufigsten Ursachen für plötzliche, standortweite Portal-Ausfälle.
Testen Sie in einem neuen, unauthentifizierten Zustand. Wenn Sie das Portal von einem Gerät aus testen, das sich zuvor authentifiziert hat, wird das Portal vollständig umgangen, da die Sitzung noch aktiv ist. Testen Sie immer von einem neuen Gerät aus oder von einem, bei dem Sie das Netzwerk ignoriert und das WiFi-Profil gelöscht haben.
Passen Sie Idle-Timeouts an. Viele Controller verwenden standardmäßig ein Idle-Timeout von 5 Minuten, was für Mobilgeräte, die zwischen Interaktionen in den Ruhezustand wechseln, viel zu aggressiv ist. Stellen Sie das Idle-Timeout für Umgebungen im Gastgewerbe und im Einzelhandel auf mindestens 30 Minuten ein.

ROI & Geschäftsnutzen

Captive Portals sind eine ausgereifte Technologie, bergen jedoch inhärente Reibungspunkte. Die strategische Ausrichtung geht klar in Richtung einer nahtlosen, sicheren Authentifizierung.

OpenRoaming, basierend auf Passpoint und 802.1X, ermöglicht es wiederkehrenden Gästen, sich automatisch und sicher zu verbinden, ohne jemals eine Anmeldeseite zu sehen. Purple fungiert im Rahmen unseres Connect-Tarifs als kostenloser Identity Provider für OpenRoaming. Standorte wie Premier Inn und die Manchester Airports Group nutzen dies bereits, um Reibungspunkte bei der erneuten Authentifizierung für wiederkehrende Besucher zu beseitigen – bei gleichzeitiger Wahrung der vollen GDPR-Konformität und Erfassung von First-Party-Daten. Durch die Reduzierung von Verbindungsfehlern erhöhen Sie direkt das Volumen der erfassten First-Party-Daten, was die Kundenbindung und das personalisierte Engagement stärkt.

Podcast: Technisches Briefing

Hören Sie unseren Senior Solutions Architect in unserem 10-minütigen technischen Briefing, um mehr über diese Schritte zur Fehlerbehebung zu erfahren.

Schlüsseldefinitionen

Captive Portal

Ein Mechanismus zum Abfangen von Netzwerkverkehr, der den Internetzugang einschränkt, bis ein Benutzer eine erforderliche Aktion durchführt, wie z. B. das Akzeptieren von Bedingungen oder die Eingabe von Anmeldedaten auf einer Splash Page.

Die primäre Methode für Unternehmensstandorte, um den Gästezugang zu sichern und First-Party-Daten zu erfassen.

Walled Garden

Eine Liste zur Zugriffskontrolle vor der Authentifizierung, die festlegt, welche externen IP-Adressen oder Domänen ein nicht authentifiziertes Gästegerät erreichen darf.

Entscheidend für die Freigabe des Zugriffs auf Portal-Ressourcen, CDNs und OAuth-Identitätsanbieter, bevor der Benutzer vollständig authentifiziert ist.

Captive Network Assistant (CNA)

Ein vom Betriebssystem automatisch geöffnetes, sandboxed Browserfenster mit eingeschränkter Funktionalität, wenn es eine Weiterleitung zum Captive Portal erkennt.

Dies ist die Schnittstelle, auf der der Gast Ihre Anmeldeseite tatsächlich sieht und mit ihr interagiert.

HSTS (HTTP Strict Transport Security)

Ein Sicherheitsmechanismus für Webinhalte, der Websites vor Man-in-the-Middle-Angriffen schützt, indem er Browser zwingt, nur über sichere HTTPS-Verbindungen mit ihnen zu kommunizieren.

HSTS verhindert, dass Gateways HTTPS-Interception verwenden, um Benutzer zu einem Captive Portal weiterzuleiten, was bei falscher Konfiguration zu Verbindungsfehlern führt.

DHCP-Pool-Erschöpfung

Ein Zustand, in dem ein DHCP-Server alle verfügbaren IP-Adressen in seinem konfigurierten Subnetz zugewiesen hat, was verhindert, dass neue Geräte dem Netzwerk beitreten.

Eine häufige Ursache für den Fehler „Verbunden, kein Internet“ in Umgebungen mit hoher Dichte wie Stadien oder Konferenzen.

MAC-Adressen-Randomisierung

Eine Datenschutzfunktion in modernen mobilen Betriebssystemen, die für jedes WiFi-Netzwerk eine zufällige MAC-Adresse generiert, um ein Tracking über verschiedene Standorte hinweg zu verhindern.

Diese Funktion unterbricht die Sitzungspersistenz bei Captive Portals, sodass sich Gäste erneut authentifizieren müssen, wenn sich ihre MAC-Adresse ändert.

OpenRoaming

Ein Verbund von WiFi-Netzwerken, der es Nutzern ermöglicht, sich automatisch und sicher mit teilnehmenden Netzwerken zu verbinden, ohne Anmeldedaten einzugeben oder mit einem Captive Portal zu interagieren.

Der strategische Nachfolger von Captive Portals für wiederkehrende Besucher, unterstützt von Purple als kostenloser Identity Provider.

RFC 8910 (DHCP Option 114)

Ein Standard, der es einem DHCP-Server ermöglicht, der Client-Schnittstelle während der IP-Adresszuweisung direkt die URL des Captive Portals bereitzustellen.

Dies umgeht die Notwendigkeit einer HTTP-Weiterleitung vollständig, löst Probleme, die durch HSTS verursacht werden, und verbessert die Geschwindigkeit der Portal-Erkennung.

Ausgearbeitete Beispiele

Ein Hotel mit 350 Zimmern im Zentrum von London betreibt ein einziges /24-Subnetz für das Gäste-WiFi. Während einer großen Konferenz treffen 400 Delegierte gleichzeitig ein. Innerhalb von 20 Minuten berichten Gäste, dass sie zwar verbunden sind, aber weder das Portal noch das Internet erreichen können.

Die sofortige Lösung besteht darin, das Subnetz auf /22 zu erweitern, was 1.022 nutzbare Adressen bereitstellt, und die DHCP-Lease-Zeit von 24 Stunden auf 8 Stunden zu verkürzen. Die langfristige Lösung ist die Implementierung des Cloud-managed Captive Portals von Purple, das die Auslastung des DHCP-Pools in Echtzeit überwacht und das Netzwerkteam alarmiert, bevor eine Erschöpfung eintritt.

Kommentar des Prüfers: Dieses Szenario demonstriert eine klassische Erschöpfung des DHCP-Pools. Ein /24-Subnetz bietet nur 254 nutzbare IP-Adressen. Durch die Erhöhung der Subnetzgröße und die Verkürzung der Lease-Zeit kann das Netzwerk die hohe Fluktuation von Geräten bewältigen, die für eine Konferenz typisch ist.

Eine große Einzelhandelskette mit 200 Filialen nutzt Social Login über Google und Facebook auf ihrem Gästeportal. Nach einem Update der OAuth-Infrastruktur durch Google können Gäste die Portalseite zwar erreichen, aber die Social-Login-Buttons zeigen nur leere Bildschirme.

Das IT-Team muss die neuen von Google verwendeten Authentifizierungsdomänen identifizieren und sie dem Walled Garden (Pre-Authentication Access Control List) hinzufügen. Um dies in Zukunft zu verhindern, sollten sie Wildcard-Domain-Einträge (z. B. *.google.com) anstelle von fest codierten IP-Adressen verwenden und den Walled Garden vierteljährlich überprüfen.

Kommentar des Prüfers: Dies verdeutlicht die Anfälligkeit statischer Walled Gardens bei der Nutzung von Drittanbieter-OAuth-Providern. Cloud-basierte Identitätsanbieter ändern häufig ihre IP-Bereiche und CDN-Domains. Wildcard-Snooping, das von Enterprise-Hardware wie Cisco Meraki und HPE Aruba nativ unterstützt wird, ist hier der richtige architektonische Ansatz.

Übungsfragen

Q1. Der IT-Leiter eines Stadions berichtet, dass in der Halbzeitpause Tausende von Fans versuchen, sich mit dem Gäste-WiFi zu verbinden. Das Portal lädt bei einigen, aber viele berichten, dass ihre Geräte bei "IP-Adresse wird abgerufen" hängen bleiben oder "Verbunden, kein Internet" anzeigen, noch bevor das Portal überhaupt erscheint. Was ist der wahrscheinlichste Architekturfehler?

Hinweis: Berücksichtigen Sie das Volumen der gleichzeitigen Verbindungen im Vergleich zu den verfügbaren Ressourcen auf dem Netzwerksegment.

Musterlösung anzeigen

Das Netzwerk leidet unter einer DHCP-Pool-Erschöpfung. Das Subnetz ist wahrscheinlich zu klein dimensioniert (z. B. ein /24) für die maximale Anzahl gleichzeitiger Nutzer, und die DHCP-Lease-Zeit ist wahrscheinlich zu hoch eingestellt. Der empfohlene Ansatz besteht darin, die Subnetzgröße zu erhöhen (z. B. auf ein /22 oder /21) und die DHCP-Lease-Zeit an die erwartete Verweildauer anzupassen (z. B. 3 Stunden für ein Stadion).

Q2. Ein Gast verbindet sich mit Ihrem Retail-WiFi-Netzwerk. Sein Gerät zeigt beim Versuch, eine beliebte Website zu laden, die Sicherheitswarnung "Ihre Verbindung ist nicht privat" an, und das Captive Portal erscheint nie. Welcher Mechanismus verursacht diese Blockade?

Hinweis: Denken Sie daran, wie moderne Browser mit erzwungenen Weiterleitungen bei sicheren Verbindungen umgehen.

Musterlösung anzeigen

HSTS (HTTP Strict Transport Security) blockiert die Weiterleitung. Der Gast hat versucht, eine mit HSTS vorab geladene Domain (über HTTPS) aufzurufen, und das Wireless Gateway hat versucht, diese sichere Verbindung abzufangen, um sie auf das Portal umzuleiten. Der Browser hat die Zertifikatsabweichung erkannt und die Verbindung blockiert. Das Gateway muss so konfiguriert werden, dass es nur unverschlüsselte HTTP-Probes abfängt.

Q3. Sie haben vor kurzem die Social-Login-Optionen für Google und Microsoft Entra ID auf Ihrem Captive Portal aktiviert. Gäste berichten, dass die Portalseite geladen wird, aber das Klicken auf die Login-Buttons zu einem Timeout führt. Das Portal funktioniert im uneingeschränkten Mitarbeiternetzwerk der IT-Abteilung einwandfrei. Welche Konfiguration fehlt?

Hinweis: Berücksichtigen Sie den Netzwerkstatus des Gastgeräts, bevor die Authentifizierung abgeschlossen ist.

Musterlösung anzeigen

Der Walled Garden (Zugriffskontrollliste vor der Authentifizierung) ist unvollständig. Die von Google und Microsoft Entra ID verwendeten OAuth-Authentifizierungsdomänen und CDNs wurden nicht auf die Whitelist gesetzt. Da der Gast nicht authentifiziert ist, blockiert das Gateway den Zugriff auf diese externen Domänen, was zu einem Timeout des Social-Login-Prozesses führt. Das IT-Team muss Wildcard-Einträge für diese Identity Provider zum Walled Garden hinzufügen.

Weiterlesen in dieser Reihe

Top 10 Causes of DHCP Timeouts on High-Density Wireless Networks

This authoritative technical reference guide identifies the top ten causes of DHCP timeouts on high-density wireless networks and provides actionable, vendor-neutral remediation strategies. Designed for senior IT leaders, network architects, and venue operations directors, it covers deep-dive engineering principles, step-by-step implementation workflows, and measurable business outcomes. Learn how to eliminate connection bottlenecks and optimize your wireless infrastructure to deliver seamless connectivity in demanding enterprise environments.

Verwendung von Packet Capture (PCAP) zur Diagnose langsamer WiFi-Leistung

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs eine strukturierte Methodik auf Paketebene zur Diagnose und Behebung langsamer WiFi-Leistung in Unternehmen mithilfe der Packet Capture (PCAP)-Analyse. Durch die Analyse von rohen 802.11-Frames – einschließlich Retransmissionsraten, Airtime-Auslastung und Metadaten der physikalischen Schicht – können Teams Engpässe auf der HF-Schicht präzise von kabelgebundenen oder anwendungsspezifischen Problemen isolieren. Dieser Leitfaden ist für hochfrequentierte Standorte wie Hotels, Einzelhandelsketten, Stadien und Konferenzzentren geeignet und bietet direkt umsetzbare Diagnose-Workflows, Fallstudien aus der Praxis sowie Schritte zur Konfigurationsbehebung, um Netzwerkkapazitäten zurückzugewinnen und das Gästeerlebnis zu sichern.

Fehlerbehebung bei 802.1X-Authentifizierungsfehlern (RADIUS/EAP)

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Standortbetriebs eine umfassende, praxisnahe Referenz zur Diagnose und Behebung von 802.1X-Authentifizierungsfehlern in der RADIUS- und EAP-Infrastruktur. Er deckt die gesamte Authentifizierungskette ab – von der Fehlkonfiguration des Supplicants und dem Ablauf von Zertifikaten bis hin zu nicht übereinstimmenden RADIUS Shared Secrets und Fragmentierung bei der Netzwerkübertragung – ergänzt durch Praxis-Fallbeispiele aus dem Hotel- und Gastgewerbe sowie dem Einzelhandel. Teams, die für PCI-DSS-Compliance, WPA3-Enterprise-Bereitstellungen und standortübergreifende Netzwerkzugriffskontrolle verantwortlich sind, finden hier strukturierte Diagnose-Frameworks, Implementierungs-Checklisten und Strategien zur Risikominderung, die direkt auf ihren Betrieb anwendbar sind.