Fehlerbehebung bei Captive Portal Weiterleitungen: Behebung von Verbindungsfehlern beim Gäste WiFi

Management-Zusammenfassung

Die Suchanfrage „Gast-WiFi verbunden, aber kein Internet“ gehört zu den häufigsten Support-Tickets im Enterprise-Networking. Das Symptom ist für jeden Besucher sichtbar; die Ursache bleibt für die meisten IT-Teams jedoch unsichtbar, bis sie die Weiterleitungskette verstehen. Ein Captive Portal (auch Splash Page oder Hotspot-Gateway genannt) fängt den ersten HTTP-Konnektivitätstest eines Geräts ab und gibt eine HTTP 302-Weiterleitung an eine Anmeldeseite aus. Wenn ein Schritt in dieser Kette fehlschlägt - blockierte Tests, HSTS-Konflikte, Lücken im Walled Garden, RADIUS-Fehler oder DHCP-Erschöpfung - sieht der Gast nichts als ein verbundenes WiFi-Symbol und kein Internet. Dieser Leitfaden führt Sie durch jeden Fehlermodus, die zugrunde liegende Protokollmechanik und die Konfigurationsänderungen, mit denen Sie diese beheben können. Purple ist in über 80.000 Live-Standorten im Einsatz und verarbeitet jährlich 440 Millionen Anmeldungen (interne Daten von Purple, 2024). Die hier beschriebenen Muster stellen die häufigsten Ursachen dar, die wir in den Bereichen Hotellerie, Einzelhandel, Transportwesen und im öffentlichen Sektor beobachten.

Technischer Deep-Dive

Wie die Erkennung von Captive Portals tatsächlich funktioniert

Jedes gängige Betriebssystem verfügt über einen integrierten Mechanismus, mit dem erkannt wird, ob ein Netzwerk eine Authentifizierung erfordert, bevor der Internetzugang gewährt wird. Das Verständnis dieser Mechanismen ist die Grundlage für jede Fehlerbehebung bei Captive Portals.

Wenn sich ein Gerät mit einer SSID verbindet, sendet das Betriebssystem eine unverschlüsselte HTTP GET-Anfrage an eine vordefinierte URL. Die folgende Tabelle listet die Test-URLs nach Plattform auf.

Wenn das Gateway eine dieser Anfragen abfängt und eine HTTP 302-Weiterleitung an die URL des Captive Portals zurückgibt, erkennt das Betriebssystem, dass es sich hinter einem Portal befindet, und öffnet einen Pseudo-Browser (ein leichtgewichtiges WebView), um die Splash Page anzuzeigen. Wenn der Test vollständig blockiert wird, meldet das Betriebssystem „Keine Internetverbindung“ und versucht gar nicht erst, das Portal zu öffnen. Dies ist die mit Abstand häufigste Ursache für das Symptom „Gast-WiFi verbunden, aber kein Internet“.

Das HSTS-Problem

HTTP Strict Transport Security (HSTS) ist eine Web-Sicherheitsrichtlinie, die in RFC 6797 definiert ist. Sie weist Browser an, alle reinen HTTP-Verbindungen zu einer Domain abzulehnen und jedes Zertifikat zurückzuweisen, das nicht exakt übereinstimmt. Große Domains wie google.com, facebook.com und die meisten Banking-Seiten befinden sich auf der HSTS-Preload-Liste, die in Chrome, Firefox, Safari und Edge integriert ist.

Wenn ein Gast einen Browser öffnet und google.com eingibt, aktualisiert der Browser die Anfrage auf HTTPS, bevor sie das Gerät verlässt. Das Gateway kann eine HTTPS-Anfrage nicht abfangen und sauber umleiten - es müsste ein Zertifikat für google.com vorlegen, das es nicht besitzt. Der Browser erkennt die Zertifikatsabweichung und zeigt eine schwerwiegende Sicherheitswarnung an. Der Gast kann nicht zur Login-Seite fortfahren.

Die korrekte Architektur basiert vollständig auf den oben beschriebenen HTTP-Probes auf Betriebssystemebene. Diese Probes verwenden reines HTTP zu Non-HSTS-URLs, speziell damit Gateways sie ohne Zertifikatskonflikte abfangen und umleiten können. Ihr Gateway muss diese HTTP-Probes abfangen und den 302-Redirect ausführen. Versuchen Sie nicht, HTTPS-Traffic für Captive Portal-Zwecke abzufangen.

Der Walled Garden

Ein Walled Garden ist die Gruppe von Domains und IP-Adressen, die ein Gerät erreichen kann, bevor es sich authentifiziert hat. Wenn der Walled Garden zu eng gefasst ist, lädt die Splash Page zwar, aber die Authentifizierung schlägt fehl. Häufige Lücken sind:

• Identity Provider-Domains: Wenn Sie Microsoft Entra ID, Okta oder Google Workspace für Social Login oder SSO verwenden, müssen deren Authentifizierungs-Endpunkte im Walled Garden hinterlegt sein.
• CDN- und Asset-Domains: Ihre Splash Page lädt möglicherweise CSS, JavaScript oder Schriftarten von einem Content Delivery Network. Wenn diese CDN-Domains blockiert sind, wird die Seite fehlerhaft dargestellt.
• Zahlungsanbieter-Domains: Wenn Sie den Zugang über Stripe oder einen anderen Anbieter kostenpflichtig machen, müssen die JavaScript SDK-Domains des Anbieters vorab authentifiziert sein.
• Purple Plattform-Domains: Der Cloud-Overlay von Purple erfordert, dass das Gateway die RADIUS-Server und Portal-Endpunkte von Purple erreichen kann. Diese sind in den Hardware-Integrationshandbüchern von Purple für jede unterstützte Plattform dokumentiert.

RADIUS und die Autorisierungslücke

RADIUS (Remote Authentication Dial-In User Service) ist das Protokoll, das Ihr lokales Gateway mit der Authentifizierungsplattform verbindet. Wenn ein Gast das Login-Formular ausfüllt, sendet das Captive Portal die Anmeldedaten an den RADIUS-Server. Der RADIUS-Server gibt eine Access-Accept- oder Access-Reject-Nachricht zurück. Das Gateway reagiert auf diese Nachricht, indem es die Firewall-Regel, die den Internetzugang gewährt, öffnet oder geschlossen hält.

Die Autorisierungslücke - bei der sich ein Gast erfolgreich auf der Splash Page anmeldet, aber immer noch kein Internet hat - bedeutet fast immer, dass das Gateway die Access-Accept-Nachricht nicht empfangen oder verarbeitet hat. Häufige Ursachen sind ein nicht übereinstimmendes Shared Secret, die Blockierung der UDP-Ports 1812 und 1813 durch eine lokale Firewall oder eine falsch auf dem Gateway konfigurierte RADIUS-Server-IP-Adresse.

DHCP-Erschöpfung in High-Density-Umgebungen

In Stadien, Konferenzzentren und Verkehrsknotenpunkten ist eine DHCP-Erschöpfung eine häufige Ursache für Verbindungsfehler, die identisch mit einem Captive Portal-Problem aussehen. Wenn der DHCP-Pool voll ist, verbindet sich ein neues Gerät mit dem Access Point, erhält aber nie eine IP-Adresse. Ohne eine IP-Adresse kann das Gerät den HTTP-Probe nicht senden und erreicht das Captive Portal nie. Das Gerät wird als mit der SSID verbunden angezeigt, hat aber kein Internet.

Für Veranstaltungsorte wie die Manchester Airports Group (MAG), bei denen die Passagierzahlen stark ansteigen, müssen Subnetze für die maximale Anzahl gleichzeitiger Geräte dimensioniert werden, nicht für den Durchschnitt. Kurze DHCP-Lease-Zeiten (15 - 30 Minuten für transiente Besuchernetzwerke) fordern Adressen von abgereisten Geräten schnell zurück.

Implementierungshandbuch

Die folgenden Schritte gelten für jede Hardwareplattform - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet - bei der Integration mit dem Cloud-Overlay von Purple.

Schritt 1: Konfigurieren Sie die SSID für das externe Captive Portal. Stellen Sie in Ihrem Hardware-Controller die Gäste-SSID so ein, dass nicht authentifizierte Clients auf die externe Portal-URL von Purple umgeleitet werden. Deaktivieren Sie jede lokale Splash-Page auf dem Controller selbst.

Schritt 2: Definieren Sie den Walled Garden. Fügen Sie mindestens die folgenden Domains hinzu: Das Portal von Purple und die RADIUS-Endpunkte (siehe Ihr Hardware-Integrationshandbuch), die oben aufgeführten OS-Erkennungs-Probe-URLs, die Domains Ihres Identitätsanbieters (Microsoft Entra ID, Okta oder Google Workspace) und alle CDN-Domains, die Ihre Splash-Page-Assets verwenden.

Schritt 3: RADIUS konfigurieren. Geben Sie die RADIUS-Server-IP-Adressen von Purple und das Shared Secret aus Ihrem Purple-Dashboard ein und stellen Sie den Authentifizierungsport auf 1812 sowie den Accountingport auf 1813 ein. Stellen Sie sicher, dass Ihre lokale Firewall ausgehendes UDP auf diesen Ports zulässt.

Schritt 4: Sitzungsparameter festlegen. Stellen Sie für das Gastgewerbe und den Einzelhandel die Sitzungsdauer auf 24 Stunden mit aktiviertem MAC-Adress-Caching ein. Dies verhindert, dass Gäste während eines einzigen Besuchs zur erneuten Authentifizierung gezwungen werden. Für Hochsicherheitsumgebungen sind kürzere Sitzungen mit erneuter Authentifizierung angemessen.

Schritt 5: Dimensionieren Sie Ihren DHCP-Bereich. Berechnen Sie die maximale Anzahl gleichzeitiger Geräte für Ihren Veranstaltungsort bei Spitzenkapazität. Ein Restaurant mit 500 Plätzen kann während eines geschäftigen Service 800 Geräte verzeichnen. Dimensionieren Sie den DHCP-Pool auf 1.000 Adressen mit einer Lease-Zeit von 30 Minuten.

Schritt 6: Betriebssystemübergreifend testen. Testen Sie nach der Konfiguration den gesamten Ablauf auf iOS-, Android- und Windows-Geräten. Jedes verwendet eine andere Probe-URL und WebView-Implementierung. Ein Fehler auf einer Plattform, während andere funktionieren, ist fast immer eine Lücke im Walled Garden.

Best Practices

Die folgenden Empfehlungen spiegeln Standards und Muster aus den über 80.000 Installationen von Purple an Veranstaltungsorten wider.

Separate guest and staff networks. Betreiben Sie mindestens drei SSIDs: Guest WiFi, Staff WiFi und ein IoT-Netzwerk. Der Datenverkehr von Gästen muss von internen Systemen isoliert werden. Einzelheiten zur Architektur finden Sie in unserem Leitfaden Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Nutzen Sie ein dediziertes Guest-VLAN. Segmentieren Sie den Datenverkehr von Gästen in ein eigenes VLAN, um laterale Bewegungen zu verhindern und Firewall-Richtlinien zu vereinfachen. Dies ist eine PCI-DSS-Anforderung, falls Kreditkartendaten über das Netzwerk übertragen werden.

Implementieren Sie bewusste Opt-ins. Die GDPR verlangt, dass die Datenerfassung am Captive Portal auf einer informierten, ausdrücklichen Einwilligung basiert. Die bewussten Opt-ins von Purple präsentieren die Optionen zur Datenerfassung klar und mit separaten Kontrollkästchen für jeden Zweck. Dies ist für Standorte im Vereinigten Königreich oder in der EU obligatorisch.

Überwachen Sie die Portal-Integrität proaktiv. Die Plattform für WiFi Analytics von Purple bietet Echtzeit-Einblicke in Anmeldeerfolgsraten, Sitzungszahlen und Authentifizierungsfehler. Ein plötzlicher Abfall erfolgreicher Anmeldungen ist eine Frühwarnung für ein RADIUS- oder Walled-Garden-Problem, noch bevor sich Gäste beschweren.

Verwenden Sie ein einheitliches Branding. Die Splash Page ist die erste Interaktion, die ein Gast mit Ihrer Marke in Ihrem Netzwerk hat. Ein gut gestaltetes Portal erhöht die Opt-in-Raten und setzt Erwartungen für das WiFi-Erlebnis. Design-Richtlinien finden Sie unter How to make a great first impression with your guest WiFi .

-

Fehlerbehebung und Risikominderung

Wenn ein Problem mit dem Captive Portal gemeldet wird, befolgen Sie diese Diagnose-Reihenfolge, bevor Sie Konfigurationsänderungen vornehmen.

Isolieren Sie die Fehlerquelle. Fragen Sie den Gast, welches OS und welchen Browser er verwendet. Testen Sie denselben Ablauf selbst auf demselben OS. Wenn das Problem OS-spezifisch ist, liegt die Ursache fast sicher an einem fehlenden Walled-Garden-Eintrag für die Probe-URL dieses Betriebssystems.

Überprüfen Sie die DNS-Auflösung. Versuchen Sie von einem Gerät im Guest-VLAN aus, den Hostnamen des Captive Portals aufzulösen. Wenn die DNS-Auflösung fehlschlägt, kann das Gerät die Splash Page nicht erreichen, selbst wenn die Weiterleitung korrekt erfolgt. Überprüfen Sie, ob Ihr DHCP-Server zuverlässige DNS-Adressen verteilt und ob das Gateway DNS-Abfragen im Pre-Authentication-Status zulässt.

Erfassen Sie die Weiterleitung. Verwenden Sie die Browser-Entwicklertools (F12) oder ein Packet Capture, um den HTTP-Austausch zu beobachten. Sie sollten die Probe-Anfrage des Betriebssystems sehen, gefolgt von einer HTTP-302-Antwort, die die Portal-URL enthält. Wenn Sie die Probe-Anfrage sehen, aber keine 302-Antwort, fängt das Gateway den Datenverkehr nicht korrekt ab. Wenn Sie überhaupt keine Probe-Anfrage sehen, hat das OS bereits (möglicherweise aus einem zwischengespeicherten Zustand) festgestellt, dass es Internetzugang hat, und sendet die Probe nicht. RADIUS-Kommunikation überprüfen. Überprüfen Sie auf dem Gateway die RADIUS-Accounting-Protokolle. Eine erfolgreiche Authentifizierung erzeugt einen „Accounting-Start“-Eintrag. Wenn nach der Anmeldung eines Gastes keine Accounting-Einträge angezeigt werden, ist die RADIUS-Kommunikation gestört. Überprüfen Sie das Shared Secret, die Server-IP und die Firewall-Regeln.

DHCP-Lease-Auslastung prüfen. Überprüfen Sie auf dem DHCP-Server die aktuelle Anzahl der Leases im Vergleich zur Poolgröße. Wenn die Auslastung 90 % überschreitet, droht eine Erschöpfung des Pools. Erweitern Sie den Pool oder verkürzen Sie die Lease-Zeit umgehend.

Die folgende Tabelle ordnet die häufigsten Symptome ihren Ursachen und der entsprechenden Behebung zu.

ROI und geschäftliche Auswirkungen

Jeder Ausfall eines Captive Portals ist ein verlorenes Datenerfassungsereignis. Die Guest WiFi -Plattform von Purple verwandelt jede erfolgreiche Authentifizierung in einen First-Party-Datensatz - Name, E-Mail-Adresse, demografische Daten und Besuchshäufigkeit - der direkt in Marketing-Automatisierung und Treueprogramme einfließt.

Für einen Gastronomie- und Hotellerie -Betreiber wie Premier Inn oder Whitbread bedeutet eine Verbesserung der Authentifizierungs-Erfolgsquote des Portals um 10 % in einem Portfolio von 700 Standorten monatlich zehntausende zusätzliche Opt-in-Datensätze. Diese Datensätze bilden die Grundlage für personalisierte E-Mail-Kampagnen mit messbar höheren Öffnungsraten als bei gekauften Listen.

Für Einzelhandels -Betreiber ist das Captive Portal der Einstiegspunkt, um die Verweildauer der Kunden, die Häufigkeit von Wiederholungsbesuchen und das Verhalten an verschiedenen Standorten zu verstehen. Purple hat in seinem Standort-Netzwerk 29 Milliarden Datenpunkte (interne Daten von Purple) erfasst. Diese Daten sind nur so gut wie die Authentifizierungsrate, mit der sie generiert werden.

Für Verkehrsknotenpunkte wie die Manchester Airports Group ist ein zuverlässiges Guest WiFi eine Kennzahl für die Passagierzufriedenheit, die auf Vorstandsebene verfolgt wird. Ein Portal, das in Stoßzeiten sporadisch ausfällt, führt zu Beschwerden und beschädigt den Net Promoter Score des Standorts. Für Gesundheitswesen -Umgebungen entlastet ein zuverlässiges Gäste-WiFi das klinische Personal, das sich andernfalls mit Beschwerden über die Konnektivität befassen müsste, und unterstützt die Patientenzufriedenheit.

Die SLA von Purple mit 99,999 % Betriebszeit stellt sicher, dass das Cloud-Overlay selbst nicht die Fehlerquelle ist. Wenn Portalprobleme auftreten, liegt die Ursache fast immer an der lokalen Konfiguration - ein Problem, das Sie mit diesem Leitfaden ohne die Eröffnung eines Support-Tickets beheben können.

Referenzen

[1] Troubleshooting Tip: General captive portal explanation, flow and troubleshooting. Fortinet Community, November 2024. https://community.fortinet.com/fortigate-3/troubleshooting-tip-general-captive-portal-explanation-flow-and-troubleshooting-188409

[2] RFC 8910: Captive-Portal Identification in DHCP and Router Advertisements. IETF. https://www.rfc-editor.org/info/rfc8910

[3] Network Connectivity Status Indicator overview for Windows. Microsoft Learn, Februar 2025. https://learn.microsoft.com/en-us/windows-server/networking/ncsi/ncsi-overview

[4] 7 Captive Portal Problems That Break Guest WiFi (And Quick Fixes). Spotipo, Februar 2026. https://www.spotipo.com/post/troubleshooting-captive-portals-common-issues

[5] Solution for HSTS issues with captive portal. Ubiquiti Community. https://community.ui.com/questions/Solution-for-HSTS-issues-with-captive-portal/17b033e7-3dfe-4830-af8f-bf6ead23d8b0