Resolución de problemas de WiFi público: Solucionando "Conectado, sin Internet" y fallos de redirección a la página de bienvenida

Bienvenido a este informe técnico de Purple. Hoy abordamos uno de los problemas más persistentes y peor comprendidos de las redes inalámbricas empresariales: el Captive Portal de la WiFi de invitados que se niega a cargar. Ya conoce la situación. Un invitado llega a su hotel, tienda, estadio o centro de conferencias. Se conecta a la red WiFi. No pasa nada. No hay página de inicio de sesión. No hay internet. Solo un icono de carga girando y una frustración que va en aumento. Para los directores de operaciones de las instalaciones y los responsables de TI, ese momento no es un simple inconveniente menor. Representa un fallo directo en la experiencia de usuario, un aumento en las llamadas de soporte en recepción y una oportunidad perdida para recopilar los datos de origen (first-party data) que justifican su inversión en infraestructura inalámbrica. En este informe, analizaremos el funcionamiento interno. Explicaremos exactamente cómo funciona la detección del Captive Portal a nivel de sistema operativo, identificaremos las seis causas principales responsables de la gran mayoría de los fallos de conexión y le ofreceremos un marco de resolución de problemas práctico que podrá entregar hoy mismo a su equipo de TI. Comencemos con el funcionamiento técnico. La mayoría de la gente piensa en un Captive Portal simplemente como una página de inicio de sesión. En realidad, es un mecanismo de interceptación de tráfico a nivel de red, y esa diferencia es de suma importancia cuando las cosas fallan. Esta es la secuencia. El dispositivo de un invitado se conecta a su SSID de invitados y recibe una dirección IP a través de DHCP. En ese momento, el sistema operativo no espera a que el usuario abra un navegador. En segundo plano, un servicio del sistema inicia inmediatamente una solicitud HTTP GET no cifrada a una URL de prueba controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox tiene su propia prueba en detectportal.firefox.com. Si la red tiene acceso abierto a internet, estas pruebas devuelven las respuestas esperadas y el sistema operativo determina que todo está correcto. Pero en una red de invitados, su gateway o controlador inalámbrico intercepta esa prueba HTTP antes de que llegue a internet. En lugar de la respuesta esperada, el gateway devuelve una redirección HTTP 307 que apunta a la página de bienvenida de su Captive Portal. El sistema operativo detecta la redirección inesperada, se da cuenta de que está detrás de un Captive Portal y abre una ventana de navegador aislada (sandbox) —a menudo llamada Captive Network Assistant— para mostrar la página de inicio de sesión. Ese es el camino ideal. Ahora hablemos de las seis formas en que esto puede fallar. Causa principal número uno: agotamiento del pool de DHCP. Este es el asesino silencioso en eventos de alta densidad. Si estás organizando una conferencia con dos mil asistentes en una subred estándar /24 (slash-24), tienes 254 direcciones IP utilizables. Si el tiempo de concesión (lease time) de DHCP está configurado en las 24 horas por defecto, agotarás ese pool a los pocos minutos de abrir las puertas. Cada intento de conexión posterior fallará incluso antes de que comience la secuencia del Captive Portal. La solución es sencilla: configura los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos en entornos de alta rotación, y dimensiona tus subredes adecuadamente para el pico de usuarios concurrentes, no solo para el número total de asistentes. Causa principal número dos: fallo en la intercepción de DNS. La redirección del Captive Portal depende de que la puerta de enlace intercepte la sonda HTTP. Pero la sonda requiere primero una resolución de DNS. Si tu configuración de DNS no permite a los clientes preautenticados resolver nombres de dominio externos, la sonda nunca se activa. Asegúrate de que tu política de firewall permita explícitamente las consultas de DNS de clientes no autenticados y verifica que la intercepción de DNS funcione realizando una captura de paquetes en un dispositivo de prueba. Causa principal número tres: walled garden incompleto. El walled garden —también llamado lista de control de acceso previa a la autenticación— define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de inicio de tu portal carga recursos de una CDN que no está en el walled garden, la página se mostrará en blanco. Si ofreces inicio de sesión social a través de Google, Apple o Facebook, cada dominio de OAuth que utilicen esos proveedores debe estar en la lista blanca. Y aquí está el punto crítico: los proveedores de identidad social actualizan sus rangos de IP de CDN y dominios de autenticación con regularidad. Un walled garden que funcionaba perfectamente hace seis meses podría estar fallando silenciosamente hoy. Programa auditorías trimestrales del walled garden y utiliza la detección de dominios con comodines (wildcard domain snooping) si tu hardware lo admite. En Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, esto está disponible de forma nativa. Causa principal número cuatro: HSTS bloqueando la redirección. HTTP Strict Transport Security, o HSTS, es una política de seguridad del navegador que obliga a realizar conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta conectarse a un dominio precargado con HSTS —lo que incluye prácticamente a todos los sitios web importantes— y tu puerta de enlace intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detectará una discrepancia de certificado. Presentará una advertencia de seguridad que no se puede omitir y bloqueará la redirección por completo. La solución correcta es no intentar nunca la intercepción de HTTPS. Tu puerta de enlace solo debe redirigir las sondas de control (canary probes) HTTP no cifradas. La solución a largo plazo basada en estándares es el RFC 8910, que define la Opción 114 de DHCP. Esta opción permite que tu servidor DHCP anuncie directamente la URL del Captive Portal al dispositivo cliente, evitando por completo la necesidad de redirección HTTP. iOS 14 y Android 11 y versiones superiores admiten esto de forma nativa. Causa raíz número cinco: VPN activa en el dispositivo del invitado. Una VPN cifra todo el tráfico del dispositivo y lo redirige a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca ve la sonda HTTP. La secuencia de detección de Captive Portal nunca se activa. El invitado no ve ninguna página de inicio de sesión ni internet. La solución para el invitado es sencilla: desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para su personal de atención al público, esta debería ser la primera pregunta que hagan cuando un invitado informe de un problema de conexión. Causa raíz número seis: la aleatorización de direcciones MAC rompe la persistencia de la sesión. Los dispositivos modernos iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión de Captive Portal se rastrea mediante la dirección MAC, a un invitado que se autenticó hace una hora se le puede mostrar la página de inicio de sesión nuevamente después de que la MAC de su dispositivo cambie. La solución de cara al invitado es desactivar la Dirección privada para su SSID específico en la configuración de red. La solución por parte del operador es implementar una autenticación basada en perfiles, como OpenRoaming a través de Passpoint y 802.1X, que autentica en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante. Hablemos ahora de la implementación. ¿Cómo se ve realmente en la práctica un despliegue de Captive Portal bien configurado? Comience con su arquitectura DHCP. Para cualquier establecimiento que prevea más de 200 dispositivos simultáneos, evite el uso de una única subred slash-24. Utilice una slash-22 o superior, y ajuste los tiempos de concesión para que coincidan con el perfil de permanencia de su establecimiento. Un hotel establece las concesiones en 8 horas. Un estadio las establece en 3 horas. Un centro comercial las establece en 90 minutos. Un centro de conferencias las establece en 30 minutos. A continuación, valide su walled garden antes de cada gran evento. Las entradas mínimas requeridas son: el nombre de dominio completamente cualificado de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth de cada proveedor de inicio de sesión social que admita. En la plataforma de Purple, mantenemos y actualizamos estas entradas de walled garden automáticamente como parte de nuestro servicio gestionado en la nube, lo que elimina la carga de mantenimiento manual para su equipo. Para el certificado de su portal, utilice un certificado TLS de confianza pública de una autoridad de certificación reconocida. Los certificados autofirmados provocarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de que caduquen: un certificado caducado es una de las causas más comunes de fallos repentinos del portal en todo el establecimiento. Un error común en el que caen muchos equipos de TI: probar el portal desde un dispositivo que ya se ha autenticado previamente. La sesión de su dispositivo sigue activa, por lo que se salta el portal por completo y concluye que todo funciona. Realice siempre las pruebas desde un dispositivo en un estado limpio y sin autenticar, ya sea un dispositivo nuevo o uno en el que haya olvidado la red y borrado el perfil de WiFi.Permítame presentarle dos escenarios del mundo real que ilustran estos principios. Escenario uno: un hotel de 350 habitaciones en el centro de Londres. El establecimiento utilizaba una única subred de barra 24 para el WiFi de invitados. Durante una gran conferencia, llegaron 400 delegados simultáneamente. En 20 minutos, el pool de DHCP se agotó. Los huéspedes informaron de que estaban conectados pero no podían acceder al portal ni a Internet. La solución inmediata fue ampliar la subred a barra 22, proporcionando 1.022 direcciones utilizables, y reducir el tiempo de concesión (lease time) de 24 a 8 horas. La solución a largo plazo fue implementar el Captive Portal gestionado en la nube de Purple, que monitoriza la utilización del pool de DHCP en tiempo real y alerta al equipo de red antes de que se produzca el agotamiento. La tasa de fallos del portal se redujo casi a cero en las 48 horas posteriores al cambio. Escenario dos: una importante cadena de tiendas con 200 establecimientos. La cadena utilizaba el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualizara su infraestructura de OAuth, los nuevos dominios de autenticación no estaban en el walled garden (jardín vallado). Los clientes podían llegar a la página del portal, pero los botones de inicio de sesión social mostraban pantallas en blanco. El equipo de TI de la cadena pasó dos días diagnosticando el problema antes de identificar la brecha en el walled garden. La solución llevó 10 minutos una vez identificada. La lección: nunca codifique de forma rígida (hardcode) direcciones IP en su walled garden para proveedores de OAuth basados en la nube. Utilice entradas de dominio con comodines y revíselas trimestralmente. Ahora, daremos respuesta a algunas preguntas rápidas que escuchamos habitualmente de los equipos de TI de los establecimientos. ¿Por qué el portal funciona en iPhones pero no en dispositivos Android? Android utiliza connectivitycheck.gstatic.com como su URL de prueba. Si ese dominio está bloqueado por su firewall o no está en su walled garden, los dispositivos Android nunca activarán el portal. Agréguelo explícitamente. Un invitado dice que el portal se cargó pero que no puede conectarse a Internet después de iniciar sesión. Esto es casi siempre un fallo de autorización de RADIUS. Compruebe que su servidor RADIUS sea accesible desde el controlador inalámbrico, verifique que el secreto compartido coincida en ambos lados y revise los registros de RADIUS en busca de mensajes de Access-Reject. ¿Cómo gestionamos a los invitados que siguen siendo desconectados después de unos minutos? Compruebe la configuración del tiempo de espera de inactividad (idle timeout). Muchos controladores tienen por defecto un tiempo de espera de inactividad de 5 minutos, lo cual es demasiado agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera de inactividad en al menos 30 minutos para entornos de hostelería y comercio minorista. Para resumir los puntos clave de la sesión de hoy. Los fallos del Captive Portal de WiFi de invitados se dividen en seis categorías: agotamiento del pool de DHCP, fallo de interceptación de DNS, walled garden incompleto, bloqueo de redirección de HSTS, VPN activa en el dispositivo cliente y aleatorización de direcciones MAC. Cada uno tiene una solución específica y comprobable. Para su equipo de TI, las acciones inmediatas son: auditar los tiempos de concesión de DHCP y el tamaño de las subredes, validar su walled garden frente a los dominios OAuth actuales de sus proveedores de inicio de sesión social y probar su portal desde un dispositivo nuevo no autenticado después de cada cambio de configuración. Para su hoja de ruta a más largo plazo, evalúe OpenRoaming como el sucesor de la reautenticación de Captive Portal para visitantes recurrentes. La tecnología es madura, los estándares están establecidos bajo IEEE 802.1X y WPA3-Enterprise, y Purple la ofrece sin coste de software adicional en el plan Connect. Purple opera en más de 80.000 establecimientos y ha procesado 440 millones de inicios de sesión solo en 2024. Hemos visto todos los modos de fallo descritos en este informe y hemos desarrollado las herramientas para prevenirlos. Si desea explorar cómo se integra la superposición en la nube de Purple con su infraestructura existente de Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, visite purple.ai o hable con su gestor de cuentas. Gracias por su atención.