¿Por qué no se conecta mi WiFi de invitados? Resolución de problemas de Captive Portal

TÍTULO: ¿Por qué no se conecta mi WiFi de invitados? Resolución de problemas de Captive Portal FORMATO: Podcast de información técnica de Purple VOZ: Español de España - Tono de arquitecto de soluciones sénior DURACIÓN: Aproximadamente 10 minutos --- SECCIÓN 1: Introducción y contexto - aproximadamente 1 minuto Hola y bienvenidos a esta sesión informativa técnica de Purple. Soy su anfitrión y hoy abordamos uno de los problemas más persistentes y peor comprendidos en las redes inalámbricas empresariales: el Captive Portal de WiFi de invitados que simplemente se niega a cargarse. Seguro que lo ha vivido. Un invitado llega a su hotel, tienda, estadio o centro de conferencias. Se une a la red WiFi. No pasa nada. No hay página de inicio de sesión. No hay internet. Solo un icono girando y una creciente sensación de frustración. Para los directores de operaciones de recintos y los responsables de TI, ese momento no es solo un pequeño inconveniente. Representa un fallo directo en la experiencia de sus invitados, un aumento en las llamadas de soporte de recepción y una oportunidad perdida de capturar los datos de primera mano que justifican su inversión en infraestructura inalámbrica. En esta sesión informativa, vamos a ir más allá de la superficie. Explicaremos exactamente cómo funciona la detección de Captive Portal a nivel de sistema operativo, identificaremos las seis causas principales responsables de la gran mayoría de los fallos de conexión y le ofreceremos un marco de resolución de problemas práctico y aplicable que podrá entregar a su equipo de TI hoy mismo. Comencemos. --- SECCIÓN 2: Análisis técnico profundo - aproximadamente 5 minutos Para solucionar un problema de Captive Portal, primero debe comprender qué hace realmente un Captive Portal a nivel de red. La mayoría de la gente piensa que es simplemente una página de inicio de sesión. En realidad, es un mecanismo de interceptación de tráfico a nivel de red, y esa distinción importa enormemente cuando las cosas van mal. Esta es la secuencia. El dispositivo de un invitado se une a su SSID de invitados y recibe una dirección IP a través de DHCP. En ese momento, el sistema operativo no espera a que el usuario abra un navegador. En segundo plano, un servicio del sistema lanza inmediatamente una solicitud HTTP GET no cifrada a una URL de sonda controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox tiene su propia sonda en detectportal.firefox.com. Si la red tiene acceso abierto a internet, estas sondas devuelven las respuestas esperadas y el sistema operativo concluye que todo está bien. Pero en una red de invitados, su puerta de enlace o controlador inalámbrico intercepta esa sonda HTTP antes de que llegue a internet. En lugar de la respuesta esperada, la puerta de enlace devuelve una redirección HTTP 302 que apunta a la página de bienvenida de su Captive Portal. El sistema operativo detecta la redirección inesperada, se da cuenta de que está detrás de un Captive Portal y abre una ventana de navegador aislada (sandbox), a menudo llamada Asistente de Captive Portal, para mostrar la página de inicio de sesión. Ese es el camino ideal. Ahora hablemos de las seis formas en que falla. Causa principal número uno: agotamiento del grupo DHCP. Este es el asesino silencioso en eventos de alta densidad. Si organiza una conferencia con dos mil asistentes en una subred estándar /24, dispondrá de 254 direcciones IP utilizables. Si el tiempo de concesión DHCP está configurado en las 24 horas predeterminadas, agotará ese grupo a los pocos minutos de abrir las puertas. Cada intento de conexión posterior fallará antes de que comience la secuencia del Captive Portal. La solución es sencilla: configure los tiempos de concesión DHCP de invitados entre 15 y 30 minutos para entornos de alta rotación, y dimensione sus subredes adecuadamente para el pico de usuarios simultáneos, no solo para el número total de personas. Causa principal número dos: fallo de interceptación de DNS. La redirección del Captive Portal depende de que la puerta de enlace intercepte la sonda HTTP. Pero la sonda requiere primero una búsqueda de DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activa. Asegúrese de que su política de cortafuegos permita explícitamente las consultas de DNS de clientes no autenticados y verifique que su interceptación de DNS funcione ejecutando una captura de paquetes en un dispositivo de prueba. Causa principal número tres: walled garden incompleto. El walled garden (también llamado lista de control de acceso de preautenticación) define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de bienvenida de su portal carga recursos de una CDN que no está en el walled garden, la página se mostrará en blanco. Si ofrece inicio de sesión social a través de Google, Apple o Facebook, todos los dominios OAuth que utilicen esos proveedores deben estar en la lista blanca. Y aquí está el punto crítico: los proveedores de identidad social actualizan sus rangos de IP de CDN y dominios de autenticación con regularidad. Un walled garden que funcionaba perfectamente hace seis meses puede estar fallando silenciosamente hoy. Programe auditorías trimestrales del walled garden y utilice la detección de dominios con comodines (wildcard domain snooping) si su hardware lo admite. En Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, esto está disponible de forma nativa. Causa principal número cuatro: HSTS bloqueando la redirección. HTTP Strict Transport Security, o HSTS, es una política de seguridad del navegador que obliga a realizar conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta ponerse en contacto con un dominio precargado con HSTS (lo que incluye prácticamente a todos los sitios web principales) y su puerta de enlace intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detectará una discrepancia de certificados. Presentará una advertencia de seguridad que no se puede omitir y bloqueará la redirección por completo. La solución correcta es no intentar nunca la interceptación de HTTPS. Su puerta de enlace solo debe redirigir las sondas canarias HTTP no cifradas. La solución a largo plazo basada en estándares es la norma RFC 8910, que define la opción DHCP 114. Esta opción permite que su servidor DHCP anuncie directamente la URL del Captive Portal al dispositivo cliente, evitando por completo la necesidad de redirección HTTP. iOS 14 y Android 11 y versiones superiores admiten esto de forma nativa. Causa principal número cinco: VPN activa en el dispositivo del invitado. Una VPN cifra todo el tráfico del dispositivo y lo enruta a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca ve la sonda HTTP. La secuencia de detección del Captive Portal nunca se activa. El invitado no ve la página de inicio de sesión ni tiene internet. La solución para el invitado es sencilla: desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para su personal de recepción, esta debería ser la primera pregunta que hagan cuando un invitado informe de un problema de conexión. Causa principal número seis: la aleatorización de direcciones MAC rompe la persistencia de la sesión. Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias de forma predeterminada como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea por dirección MAC, a un invitado que se autenticó hace una hora se le puede presentar la página de inicio de sesión nuevamente después de que la MAC de su dispositivo rote. La solución para el invitado es desactivar la opción 'Dirección privada' para su SSID específico en la configuración de red. La solución para el operador es implementar una autenticación basada en perfiles, como OpenRoaming a través de Passpoint y 802.1X, que se autentica en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante. --- SECCIÓN 3: Recomendaciones de implementación y errores comunes - aproximadamente 2 minutos Ahora que comprendemos las causas principales, hablemos de cómo es en realidad un despliegue de Captive Portal bien configurado. Comience con su arquitectura DHCP. Para cualquier recinto que espere más de 200 dispositivos simultáneos, abandone la subred única /24. Utilice una /22 o superior, y configure los tiempos de concesión para que coincidan con el perfil de permanencia de su recinto. Un hotel establece las concesiones en 8 horas. Un estadio establece las concesiones en 3 horas. Un centro comercial establece las concesiones en 90 minutos. Un centro de conferencias establece las concesiones en 30 minutos. A continuación, valide su walled garden antes de cada evento importante. Las entradas mínimas requeridas son: el FQDN de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita. En la plataforma de Purple, mantenemos y actualizamos estas entradas de walled garden automáticamente como parte de nuestro servicio gestionado en la nube, lo que elimina la carga de mantenimiento manual para su equipo. Para el certificado de su portal, utilice un certificado TLS de confianza pública de una autoridad de certificación reconocida. Los certificados autofirmados generarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de que caduquen: un certificado caducado es una de las causas más comunes de fallos repentinos del portal en todo el recinto. Un error común que afecta a muchos equipos de TI: probar el portal desde un dispositivo que ya se ha autenticado previamente. La sesión de su dispositivo sigue activa, por lo que se salta el portal por completo y concluye que todo funciona. Realice siempre las pruebas desde un dispositivo en un estado nuevo y no autenticado, ya sea un dispositivo nuevo o uno en el que haya olvidado la red y borrado el perfil WiFi. Por último, considere la dirección estratégica a seguir. Los Captive Portals son una tecnología madura, pero conllevan una fricción inherente. OpenRoaming, basado en Passpoint y 802.1X, permite a los invitados que regresan conectarse de forma automática y segura sin ver nunca una página de inicio de sesión. Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo nuestro plan Connect. Recintos como Premier Inn y Manchester Airports Group ya están implementando esto para eliminar la fricción de la reautenticación para los visitantes recurrentes, manteniendo al mismo tiempo el cumplimiento total de GDPR y la captura de datos de primera mano. --- SECCIÓN 4: Preguntas y respuestas rápidas - aproximadamente 1 minuto Repasemos las preguntas más comunes que recibimos de los equipos de TI de los recintos. Pregunta: ¿Por qué el portal funciona en iPhones pero no en dispositivos Android? Respuesta: Android utiliza connectivitycheck.gstatic.com como su URL de sonda. Si su cortafuegos bloquea ese dominio o no está en su walled garden, los dispositivos Android nunca activarán el portal. Añádalo explícitamente. Pregunta: Un invitado dice que el portal se cargó pero no puede conectarse a internet después de iniciar sesión. Respuesta: Esto es casi siempre un fallo de autorización de RADIUS. Compruebe que su servidor RADIUS sea accesible desde el controlador inalámbrico, verifique que el secreto compartido coincida en ambos lados y revise los registros de RADIUS en busca de mensajes Access-Reject. Pregunta: ¿Cómo gestionamos a los invitados que se desconectan continuamente después de unos minutos? Respuesta: Compruebe la configuración del tiempo de espera por inactividad (idle timeout). Muchos controladores tienen por defecto un tiempo de espera por inactividad de 5 minutos, lo cual es demasiado agresivo para los dispositivos móviles que entran en suspensión entre interacciones. Establezca el tiempo de espera por inactividad en al menos 30 minutos para entornos de hostelería y comercio minorista. --- SECCIÓN 5: Resumen y próximos pasos - aproximadamente 1 minuto En resumen: los fallos del Captive Portal de WiFi de invitados se dividen en seis categorías: agotamiento de DHCP, fallo de interceptación de DNS, walled garden incompleto, bloqueo de redirección HSTS, VPN activa en el dispositivo cliente y aleatorización de direcciones MAC. Cada uno tiene una solución específica y comprobable. Para su equipo de TI, las acciones inmediatas son: auditar los tiempos de concesión DHCP y el tamaño de las subredes, validar su walled garden frente a los dominios OAuth actuales de sus proveedores de inicio de sesión social y probar su portal desde un dispositivo nuevo no autenticado después de cada cambio de configuración. Para su hoja de ruta a más largo plazo, evalúe OpenRoaming como el sucesor de la reautenticación de Captive Portal para los visitantes recurrentes. La tecnología es madura, los estándares están establecidos bajo IEEE 802.1X y WPA3-Enterprise, y Purple lo pone a su disposición sin coste de software adicional bajo el plan Connect. Para obtener más guías técnicas, casos de estudio y recursos de implementación, visite purple.ai. Gracias por escuchar esta sesión informativa técnica de Purple. Mantenga sus redes fiables y a sus invitados conectados.