WISPr und Captive Portal Auto-Login: Was 2026 noch funktioniert

Zusammenfassung

Seit über einem Jahrzehnt diente das Wireless Internet Service Provider Roaming (WISPr)-Protokoll als De-facto-Standard für Captive Portal Auto-Login und Roaming-Föderation. Im Jahr 2026 hat sich die Landschaft grundlegend verändert. Während Captive Portals in Gastgewerbe - und Einzelhandelsumgebungen weiterhin allgegenwärtig sind, wurde die Abhängigkeit von WISPr XML für eine nahtlose Authentifizierung weitgehend durch moderne OS-basierte Captive Network Assistants (CNA) und die schnelle Einführung von Passpoint (Hotspot 2.0) abgelöst.

Dieser Leitfaden bietet leitenden IT-Entscheidungsträgern eine pragmatische Analyse dessen, was bezüglich WISPr und Captive Portal-Erkennung noch funktioniert. Wir untersuchen, wie iOS 17/18 und moderne Android-Versionen die Portalumleitung handhaben, warum traditionelle Smart Clients versagen und wie Unternehmensnetzwerkarchitekten ihren Übergang zu OpenRoaming-Architekturen planen sollten. Durch das Verständnis der technischen Einschränkungen älterer UAM (Universal Access Method)-Abläufe können Betriebsleiter von Veranstaltungsorten Konnektivitätsprobleme für Gäste mindern und gleichzeitig die Grundlage für einen sicheren, vom ersten Paket an verschlüsselten Wi-Fi-Zugang legen.

Technischer Deep-Dive: Der Zustand von WISPr im Jahr 2026

Das Erbe von WISPr XML

Ursprünglich als Entwurfsprotokoll bei der Wi-Fi Alliance eingereicht, wurde WISPr entwickelt, um Benutzern das Roaming zwischen verschiedenen drahtlosen Internetdienstanbietern zu ermöglichen. Die Kerninnovation war das Smart Client to Access Gateway Interface Protocol, definiert in Anhang D der Spezifikation. Dieses XML-basierte Protokoll ermöglichte es Smart-Client-Software, ein Captive Portal zu erkennen, die in der HTML-Umleitung eingebettete XML-Challenge zu parsen und RADIUS-Anmeldeinformationen automatisch per HTTPS POST zu übermitteln, ohne dass der Benutzer mit einem Browser interagieren musste.

Im Jahr 2026 ist dieser Mechanismus auf modernen mobilen Betriebssystemen faktisch veraltet. Apples iOS hat WISPr XML Auto-Login nie nativ unterstützt, sondern sich stattdessen auf seinen Captive Network Assistant verlassen. Android hat die Unterstützung zugunsten eigener Konnektivitätsprüfungen ebenfalls eingestellt. Nur bestimmte MDM-verwaltete Unternehmensgeräte und ältere Windows-Bereitstellungen (über WLAN AutoConfig) behalten teilweise WISPr XML-Parsing-Fähigkeiten bei. Die von WISPr definierten RADIUS-Attribute — wie WISPr-Bandwidth-Max-Up und WISPr-Location-ID — werden jedoch von großen Netzwerkanbietern weiterhin intensiv für Traffic Shaping und Policy Enforcement genutzt.

Moderne Captive Portal-Erkennungsmechanismen

Wenn ein Client sich mit einer offenen SSID verbindet, muss er feststellen, ob er direkten Internetzugang hat oder sich hinter einem Captive Portal befindet. Dies wird durch spezifische HTTP-Probes erreicht, die sich je nach Betriebssystem unterscheiden.

iOS und macOS (Captive Network Assistant): Apple-Geräte führen eine HTTP GET-Anfrage an spezifische Endpunkte durch, hauptsächlich an http://captive.apple.com/hotspot-detect.html. Wenn das Netzwerk diese Anfrage abfängt und eine HTTP 302-Umleitung oder ein HTTP 200 OK mit einer Nutzlast zurückgibt, die nicht der erwarteten Zeichenfolge „Success“ entspricht, kennzeichnet das OS das Netzwerk als Captive. Es startet dann den Captive Network Assistant (CNA) — einen sandboxed Mini-Browser — um die Portalseite darzustellen. Entscheidend ist, dass in iOS 17 und 18 eine strikte Durchsetzung bedeutet, dass, wenn das Netzwerk HTTPS für die anfängliche Umleitung verwendet oder den Zugriff auf die Probe-URL vollständig blockiert, der CNA nicht gestartet wird, wodurch der Benutzer mit dem Wi-Fi verbunden bleibt, aber keinen Internetzugang hat.

Android und ChromeOS: Android-Geräte nutzen ähnliche Konnektivitätsprüfungen und testen Endpunkte wie http://connectivitycheck.gstatic.com/generate_204. Wird keine 204 No Content-Antwort empfangen, fordert Android den Benutzer auf, sich „im Netzwerk anzumelden“. Im Gegensatz zu iOS können neuere Android-Versionen diese Prüfungen über HTTPS durchführen, obwohl HTTP der Fallback-Standard für die Kompatibilität mit älteren Access Points bleibt.

Windows 10/11: Der WLAN AutoConfig-Dienst von Microsoft testet http://www.msftconnecttest.com/connecttest.txt. Windows behält eine begrenzte WISPr XML-Parsing-Fähigkeit in seinem WLAN AutoConfig-Dienst bei, diese wird jedoch nur für SSIDs mit einem vorkonfigurierten WISPr-Profil ausgelöst, das typischerweise über MDM oder Gruppenrichtlinien bereitgestellt wird. Für allgemeines Gast-Wi-Fi verhält sich Windows ähnlich wie mobile Betriebssysteme und zeigt dem Benutzer eine Benachrichtigung an.

Die WISPr RADIUS-Attribute, die noch relevant sind

Während der XML-Authentifizierungs-Handshake für die meisten Bereitstellungen obsolet ist, bleiben die von der WISPr-Spezifikation definierten RADIUS Vendor-Specific Attributes (VSAs) ein aktiver Bestandteil der Unternehmensnetzwerkrichtlinien. Anbieter wie Aruba (HPE), Cisco, Ruckus, Fortinet und Extreme Networks unterstützen alle diese Attribute in ihren RADIUS-Verarbeitungspipelines.

Implementierungsleitfaden: Umstellung auf Passpoint

Da sich die Branche von unverschlüsselten offenen Netzwerken abwendet, stellen Passpoint (Hotspot 2.0) und OpenRoaming die notwendige Entwicklung für Unternehmensbereitstellungen dar. Basierend auf dem IEEE 802.11u-Standard ermöglicht Passpoint Geräten, Netzwerke automatisch mithilfe von EAP-TLS oder EAP-TTLS zu erkennen und sich bei ihnen zu authentifizieren, wodurch WPA2/WPA3 Enterprise-Verschlüsselung ab dem Zeitpunkt der Verbindung bereitgestellt wird.

Laut dem WBA Industry Report 2025 planen 81 % der Wi-Fi-Führungskräfte, OpenRoaming in ihrer Infrastruktur zu implementieren. Für Transport -Hubs, Healthcare -Einrichtungen und große Einzelhandelsumgebungen ist dieser Übergang zunehmend eine Compliance-Anforderung und kein optionales Upgrade mehr.

Schritt-für-Schritt-Migrationsstrategie

Schritt 1 — Aktuelle RADIUS-Attribute prüfen: Überprüfen Sie Ihre bestehenden RADIUS-Serverkonfigurationen. Identifizieren Sie, welche WISPr Vendor-Specific Attributes derzeit für Bandbreitenbegrenzung, Sitzungs-Timeouts oder Standortberichterstattung verwendet werden. Diese Richtlinien müssen vor der Außerbetriebnahme der alten SSID auf äquivalente Attribute in Ihrer neuen Passpoint-Bereitstellung abgebildet werden.

Schritt 2 — Duale SSIDs bereitstellen: Konfigurieren Sie während der Übergangsphase Ihre Access Points so, dass sie sowohl die alte offene SSID (mit dem Captive Portal) als auch eine neue Passpoint-fähige SSID senden. Dies gewährleistet die Abwärtskompatibilität für ältere Geräte und headless IoT-Hardware, die nicht an der EAP-Authentifizierung teilnehmen können.

Schritt 3 — Identitätsanbieter konfigurieren: Um OpenRoaming zu aktivieren, müssen Sie sich in einen etablierten Identitätsanbieter integrieren. Purple bietet einen kostenlosen Identitätsanbieterdienst für OpenRoaming unter der Connect-Lizenz an, der eine nahtlose Authentifizierung für Benutzer mit gültigen Profilen von teilnehmenden Carriern und Dienstanbietern ermöglicht.

Schritt 4 — Netzwerkausrüstung aktualisieren: Stellen Sie sicher, dass Ihre Wireless LAN Controller (WLC) und Access Points Firmware ausführen, die Passpoint Release 2 oder höher unterstützt. Große Anbieter wie Cisco, Aruba und Ruckus bieten umfassende Unterstützung. Für SMB-Umgebungen lesen Sie den Leitfaden TP-Link Omada and Purple WiFi for SMB Deployments für eine praktische Implementierungsanleitung.

Schritt 5 — Überwachen und außer Betrieb nehmen: Nutzen Sie WiFi Analytics , um die Akzeptanzrate der Passpoint SSID im Vergleich zur alten Captive Portal SSID zu verfolgen. Sobald ein ausreichender Schwellenwert erreicht ist – typischerweise 70-80 % der Sitzungen – kann das alte Captive Portal auf bestimmte Anwendungsfälle beschränkt oder vollständig abgeschafft werden.

Best Practices für die Ausfallsicherheit von Captive Portals

Für Umgebungen, die 2026 ein Captive Portal beibehalten müssen, ist die Einhaltung strenger Konfigurations-Best Practices entscheidend, um sicherzustellen, dass der CNA auf allen Geräten zuverlässig gestartet wird.

Probe-URLs nicht blockieren: Stellen Sie sicher, dass Ihr Walled Garden oder Ihre Pre-Authentifizierungs-ACLs die DNS-Auflösung und den HTTP-Verkehr zu captive.apple.com, connectivitycheck.gstatic.com und msftconnecttest.com zulassen. Das Blockieren dieser Domains verhindert, dass das Betriebssystem das Portal erkennt und den CNA auslöst.

HTTP für die anfängliche Umleitung verwenden: Die anfängliche Umleitung muss über HTTP (Port 80) erfolgen. Der Versuch, eine HTTPS-Anfrage umzuleiten, führt zu einer TLS-Zertifikatswarnung, da der Access Point kein gültiges Zertifikat für die ursprünglich vom Benutzer angeforderte Domain präsentieren kann. Dies ist die häufigste Fehlkonfiguration bei der Bereitstellung von Captive Portals in Unternehmen.

Portalseite mit HTTPS sichern: Sobald die Umleitung erfolgt ist, muss die eigentliche Captive Portal Landing Page über HTTPS mit einem gültigen, öffentlich vertrauenswürdigen SSL-Zertifikat gehostet werden. Dies stellt sicher, dass Benutzeranmeldeinformationen und GDPR-Einwilligungsdaten sicher übertragen werden und die Portalseite von modernen Browsern nicht als unsicher gekennzeichnet wird.

Für den CNA optimieren: Der Captive Network Assistant ist ein eingeschränkter Browser. Vermeiden Sie komplexe JavaScript-Frameworks, Pop-ups oder das Herunterladen großer Assets. Das Portal muss schnell geladen werden und vollständig responsiv sein, um verschiedene Bildschirmgrößen zu berücksichtigen. Ein Portal, das länger als drei Sekunden zum Laden benötigt, führt zu einer deutlich höheren Abbruchrate.

CoA für die Sitzungsverwaltung implementieren: Anstatt sich auf den alten WISPr-Logoff-URL-Mechanismus zu verlassen, implementieren Sie RADIUS Change of Authorisation (CoA) für die dynamische Sitzungsverwaltung. Dies bietet eine zuverlässigere Sitzungsbeendigung und Re-Authentifizierungs-Trigger über alle Gerätetypen hinweg.

Fehlerbehebung & Risikominderung

Häufige Fehlerursachen und Lösungen

Symptom: iOS-Geräte verbinden sich mit dem Wi-Fi, aber der Anmeldebildschirm erscheint nie. Grundursache: Das Netzwerk blockiert den Zugriff auf captive.apple.com, gibt eine ungültige Antwort auf die Sonde zurück, oder die Funktion „Bypass Apple Captive Network Assistant“ ist versehentlich auf dem Wireless Controller aktiviert. Lösung: Überprüfen Sie die Pre-Authentifizierungs-ACLs. Deaktivieren Sie alle CNA-Bypass-Funktionen auf dem WLC. Bestätigen Sie, dass die HTTP 302-Umleitung korrekt zugestellt wird, indem Sie die WLC-Client-Statusprotokolle überwachen.

Symptom: Benutzer erhalten Zertifikatsfehler, bevor sie das Captive Portal sehen. Grundursache: Das Netzwerk versucht, HTTPS-Verkehr abzufangen und umzuleiten. Der WLC besitzt nicht den privaten Schlüssel für die angeforderte Domain, was einen Browser-TLS-Fehler auslöst. Lösung: KoKonfigurieren Sie das Captive Portal so, dass es nur HTTP-Verkehr auf Port 80 abfängt und umleitet. Verlassen Sie sich auf die Konnektivitätssonden auf OS-Ebene, um das Portal auszulösen.

Symptom: Android-Benutzer werden zur Anmeldung aufgefordert, aber die Portalseite wird nicht korrekt geladen. Grundursache: Die Portalseite verwendet JavaScript-Funktionen oder CSS, die von der Android WebView-Komponente, die für das Rendern des Captive Portal verwendet wird, nicht unterstützt werden. Lösung: Testen Sie die Portalseite in einer eingeschränkten Browserumgebung. Stellen Sie sicher, dass alle Assets vom Portalserver selbst geladen werden (keine externen CDN-Abhängigkeiten, die durch die Pre-Auth-ACL blockiert werden).

Symptom: WISPr-Bandbreitenbeschränkungen werden nach der Migration zur Passpoint-Authentifizierung nicht angewendet. Grundursache: Der RADIUS-Server gibt die WISPr-Bandbreiten-VSAs nicht für 802.1X-authentifizierte Sitzungen zurück, sondern nur für UAM-Sitzungen. Lösung: Aktualisieren Sie die RADIUS-Richtlinie, um die Attribute WISPr-Bandwidth-Max-Up und WISPr-Bandwidth-Max-Down für alle authentifizierten Sitzungen zurückzugeben, unabhängig von der verwendeten Authentifizierungsmethode.

ROI & Geschäftsauswirkungen

Die Migration von älteren WISPr Captive Portals zu Passpoint/OpenRoaming-Architekturen bietet einen erheblichen Geschäftswert, insbesondere in Umgebungen mit hoher Dichte wie Verkehrsknotenpunkten und großen Einzelhandelsimplementierungen.

Aus Sicherheits- und Compliance-Sicht eliminiert der Ersatz offener Netzwerke durch WPA3 Enterprise-Verschlüsselung das unverschlüsselte Fenster, das zwischen Verbindung und Portal-Authentifizierung besteht. Dies adressiert direkt Schwachstellen, die in PCI DSS 4.0 hervorgehoben werden, und reduziert das Risiko von Evil Twin-Angriffen, die gegen offene SSIDs trivial einfach auszuführen sind.

Operativ reduziert die Eliminierung der Captive Portal-Reibung die Anzahl der Helpdesk-Tickets im Zusammenhang mit Wi-Fi-Konnektivitätsproblemen. In einem Hotel mit 500 Zimmern kann dies eine signifikante Reduzierung der Anrufe an der Rezeption während der Stoßzeiten des Check-ins bedeuten. Bei Integration mit einer robusten Guest WiFi -Plattform führt die höhere Bindungsrate durch nahtlose Passpoint-Verbindungen zu reichhaltigeren Analysen und effektiveren standortbasierten Diensten. Für weitere Informationen zur Integration von Indoor-Positionierung in diese Architekturen lesen Sie unseren Indoor Positioning System: UWB, BLE, & WiFi Guide .

Während die anfängliche Bereitstellung von Passpoint Konfigurationsaktualisierungen und die Integration von Identitätsanbietern erfordert, bieten die langfristigen betrieblichen Effizienzen und die verbesserte Benutzererfahrung einen überzeugenden Return on Investment für Unternehmensnetzwerkbetreiber. Der Dual-SSID-Migrationsansatz minimiert Störungen und ermöglicht es Organisationen, in einem Tempo zu wechseln, das ihren betrieblichen Einschränkungen entspricht.