Saltar al contenido principal

Resolución de problemas en WiFi pública: Solución a "Conectado, sin internet" y fallos de redirección de la página de bienvenida

Esta guía técnica de referencia autorizada explica el mecanismo subyacente de detección del Captive Portal y detalla los seis modos principales de fallo que impiden la conexión al WiFi de invitados. Proporciona a los responsables de TI y arquitectos de red un marco práctico de resolución de problemas para resolver conflictos de redirección HTTP, DNS y desafíos de aleatorización de direcciones MAC.

📖 6 min de lectura📝 1,303 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Le damos la bienvenida a esta sesión informativa técnica de Purple. Hoy abordamos uno de los problemas más persistentes y peor comprendidos en las redes inalámbricas empresariales: el Captive Portal de WiFi para invitados que simplemente se niega a cargar. Usted ya ha estado allí. Un invitado llega a su hotel, su tienda minorista, su estadio o su centro de conferencias. Se une a la red WiFi. No pasa nada. No hay página de inicio de sesión. No hay internet. Solo un icono que gira y una sensación de frustración que no deja de aumentar. Para los directores de operaciones de las sedes y los responsables de TI, ese momento no es solo una pequeña molestia. Representa un fallo directo en la experiencia de sus invitados, un pico en las llamadas de soporte en recepción y una oportunidad perdida para capturar los datos de primera mano que justifican su inversión en infraestructura inalámbrica. En esta sesión informativa, analizaremos a fondo el sistema. Explicaremos exactamente cómo funciona la detección de Captive Portal a nivel de sistema operativo, identificaremos las seis causas principales responsables de la gran mayoría de los fallos de conexión y le ofreceremos un marco de resolución de problemas práctico y aplicable que podrá entregar a su equipo de TI hoy mismo. Comencemos con el funcionamiento mecánico. La mayoría de la gente piensa en un Captive Portal simplemente como una página de inicio de sesión. En realidad, se trata de un mecanismo de interceptación de tráfico a nivel de red, y esa distinción es enormemente importante cuando las cosas van mal. Este es el orden de los pasos. El dispositivo de un invitado se une a su SSID de invitados y recibe una dirección IP a través de DHCP. En ese momento, el sistema operativo no espera a que el usuario abra un navegador. En segundo plano, un servicio del sistema activa inmediatamente una solicitud HTTP GET no cifrada a una URL de sondeo controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox tiene su propio sondeo en detectportal.firefox.com. Si la red tiene acceso abierto a internet, estos sondeos devuelven sus respuestas esperadas y el sistema operativo concluye que todo está bien. Pero en una red de invitados, su pasarela o controlador inalámbrico intercepta ese sondeo HTTP antes de que llegue a internet. En lugar de la respuesta esperada, la pasarela devuelve una redirección HTTP 307 que apunta a la página de bienvenida de su Captive Portal. El sistema operativo detecta la redirección inesperada, se da cuenta de que está detrás de un Captive Portal y abre una ventana de navegador aislada - a menudo llamada Captive Network Assistant - para mostrar la página de inicio de sesión. Ese es el camino ideal. Ahora hablemos de las seis formas en que esto puede fallar. Causa principal número uno: el agotamiento del pool de DHCP. Este es el enemigo silencioso en eventos de alta densidad. Si organiza una conferencia con dos mil asistentes en una subred estándar barra-24, dispone de 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado por defecto en 24 horas, agotará ese pool a los pocos minutos de abrir las puertas. Cada intento de conexión posterior fallará antes de que empiece la secuencia del Captive Portal. La solución es sencilla: configure el tiempo de concesión de DHCP para invitados entre 15 y 30 minutos en entornos de alta rotación, y dimensione las subredes de forma adecuada para el pico de usuarios simultáneos, no solo para el aforo total. Causa principal número dos: fallo de interceptación de DNS. La redirección del Captive Portal depende de que la puerta de enlace intercepte la sonda HTTP. Pero la sonda requiere primero una resolución de DNS. Si la configuración de DNS no permite que los clientes no autenticados resuelvan nombres de dominio externos, la sonda nunca se activa. Asegúrese de que su política de firewall permita explícitamente las consultas DNS de clientes no autenticados, y verifique que la interceptación de DNS funciona realizando una captura de paquetes en un dispositivo de prueba. Causa principal número tres: un walled garden incompleto. El walled garden - también llamado lista de control de acceso previa a la autenticación - define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de inicio del portal carga recursos desde una CDN que no está en el walled garden, la página se mostrará en blanco. Si ofrece inicio de sesión social a través de Google, Apple o Facebook, todos los dominios OAuth que utilicen esos proveedores deben estar en la lista de permitidos. Y aquí está el punto crítico: los proveedores de identidad social actualizan sus rangos de IP de CDN y dominios de autenticación con regularidad. Un walled garden que funcionaba perfectamente hace seis meses puede estar fallando hoy de forma silenciosa. Programe auditorías trimestrales del walled garden y utilice la detección de dominios con comodines si su hardware lo admite. En Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, esto está disponible de forma nativa. Causa principal número cuatro: el bloqueo de la redirección por parte de HSTS. El HTTP Strict Transport Security, o HSTS, es una política de seguridad del navegador que obliga a realizar conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta contactar con un dominio precargado con HSTS - lo que incluye prácticamente a todos los sitios web importantes - y su puerta de enlace intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detectará una discrepancia de certificados. Presentará una advertencia de seguridad que no se puede omitir y bloqueará la redirección por completo. La solución correcta consiste en no intentar nunca la interceptación HTTPS. Su puerta de enlace solo debe redirigir las sondas canario HTTP no cifradas. La solución a largo plazo basada en estándares es el RFC 8910, que define la opción 114 de DHCP. Esta opción permite que su servidor DHCP anuncie directamente la URL del Captive Portal al dispositivo cliente, evitando por completo la necesidad de una redirección HTTP. iOS 14 e Android 11 y versiones superiores son compatibles con esto de forma nativa. Causa raíz número cinco: VPN activa en el dispositivo invitado. Una VPN cifra todo el tráfico del dispositivo y lo enruta a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca ve la sonda HTTP. La secuencia de detección del Captive Portal nunca se activa. El invitado no ve ninguna página de inicio de sesión ni conexión a internet. La solución para el invitado es sencilla: desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para su personal de recepción, esta debería ser la primera pregunta que formulen cuando un invitado informe de un problema de conexión. Causa raíz número seis: la aleatorización de direcciones MAC rompe la persistencia de la sesión. Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea mediante la dirección MAC, un invitado que se autenticó hace una hora puede volver a encontrarse con la página de inicio de sesión después de que cambie la MAC de su dispositivo. La solución para el invitado es desactivar la Dirección Privada para su SSID específico en la configuración de red. La solución por parte del operador es implementar una autenticación basada en perfiles - como OpenRoaming a través de Passpoint y 802.1X - que se autentica en la Capa 2 utilizando credenciales en lugar de direcciones MAC, haciendo que la aleatorización resulte irrelevante. Hablemos ahora de la implementación. ¿Cómo es en la práctica un despliegue de Captive Portal bien configurado? Comience con su arquitectura DHCP. Para cualquier recinto que espere más de 200 dispositivos concurrentes, evite una única subred slash-24. Utilice una slash-22 o superior, y configure los tiempos de concesión (lease times) para que coincidan con el perfil de permanencia de su recinto. Un hotel establece las concesiones en 8 horas. Un estadio las establece en 3 horas. Un centro comercial las establece en 90 minutos. Un centro de conferencias las establece en 30 minutos. A continuación, valide su jardín vallado (walled garden) antes de cada evento importante. Las entradas mínimas requeridas son: el nombre de dominio completamente calificado de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita. En la plataforma de Purple, mantenemos y actualizamos estas entradas de walled garden automáticamente como parte de nuestro servicio gestionado en la nube, lo que elimina la carga de mantenimiento manual para su equipo. Para el certificado de su portal, utilice un certificado TLS de confianza pública emitido por una entidad de certificación reconocida. Los certificados autofirmados provocarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de su vencimiento - un certificado caducado es una de las causas más comunes de fallos repentinos del portal en todo el recinto. Un error habitual en el que caen muchos equipos de TI: probar el portal desde un dispositivo que ya se ha autenticado previamente. La sesión de su dispositivo sigue activa, por lo que omite el portal por completo y concluye que todo funciona correctamente. Realice siempre las pruebas desde un dispositivo en un estado nuevo y no autenticado - ya sea un dispositivo nuevo o uno en el que haya olvidado la red y borrado el perfil de WiFi.Permítame presentarle dos escenarios del mundo real que ilustran estos principios. Escenario uno: un hotel de 350 habitaciones en el centro de Londres. El establecimiento utilizaba una única subred slash-24 para el WiFi de invitados. Durante una gran conferencia, llegaron 400 delegados simultáneamente. En 20 minutos, el pool de DHCP se agotó. Los huéspedes informaron de que estaban conectados pero no podían acceder al Captive Portal ni a internet. La solución inmediata fue ampliar la subred a slash-22, lo que proporcionó 1,022 direcciones útiles, y reducir el tiempo de concesión (lease time) de 24 horas a 8 horas. La solución a largo plazo fue implementar el Captive Portal gestionado en la nube de Purple, que supervisa la utilización del pool de DHCP en tiempo real y alerta al equipo de red antes de que se produzca el agotamiento. La tasa de fallos del portal cayó casi a cero en las 48 horas siguientes al cambio. Escenario dos: una importante cadena minorista con 200 tiendas. La cadena utilizaba el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualizara su infraestructura OAuth, los nuevos dominios de autenticación no estaban en el walled garden. Los invitados podían llegar a la página del portal, pero los botones de inicio de sesión social mostraban pantallas en blanco. El equipo de TI de la cadena pasó dos días diagnosticando el problema antes de identificar la brecha en el walled garden. La solución llevó 10 minutos una vez identificada. La lección: nunca codifique de forma fija direcciones IP en su walled garden para proveedores de OAuth basados en la nube. Utilice entradas de dominio con comodines y revíselas trimestralmente. Pasemos ahora a algunas preguntas rápidas que escuchamos con frecuencia de los equipos de TI de los establecimientos. ¿Por qué el portal funciona en iPhones pero no en dispositivos Android? Android utiliza connectivitycheck.gstatic.com como su URL de prueba. Si su cortafuegos bloquea ese dominio o no está en su walled garden, los dispositivos Android nunca activarán el portal. Agréguelo explícitamente. Un invitado dice que el portal se cargó pero que no puede conectarse después de iniciar sesión. Esto casi siempre se debe a un fallo de autorización de RADIUS. Compruebe que su servidor RADIUS sea accesible desde la controladora inalámbrica, verifique que el secreto compartido coincida en ambos lados y revise los registros de RADIUS en busca de mensajes Access-Reject. ¿Cómo gestionamos a los invitados que sufren desconexiones constantes después de unos minutos? Compruebe la configuración de su tiempo de espera por inactividad (idle timeout). Muchas controladoras tienen por defecto un tiempo de espera por inactividad de 5 minutos, lo cual es demasiado agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera por inactividad en al menos 30 minutos para entornos de hostelería y comercio minorista. Para resumir los puntos clave de la sesión de hoy. Los fallos del Captive Portal de WiFi de invitados se clasifican en seis categorías: agotamiento del pool de DHCP, fallo de interceptación de DNS, walled garden incompleto, bloqueo de redirección HSTS, VPN activa en el dispositivo cliente y aleatorización de direcciones MAC. Cada uno tiene una solución específica y comprobable. Para su equipo de TI, las acciones inmediatas son: auditar los tiempos de concesión de DHCP y el tamaño de las subredes, validar su walled garden frente a los dominios OAuth actuales de sus proveedores de inicio de sesión social y probar su portal desde un dispositivo nuevo no autenticado después de cada cambio de configuración.Para su hoja de ruta a más largo plazo, evalúe OpenRoaming como el sucesor de la reautenticación de Captive Portal para visitantes recurrentes. La tecnología es madura, los estándares están establecidos bajo IEEE 802.1X y WPA3-Enterprise, y Purple lo pone a su disposición sin coste de software adicional bajo el plan Connect. Purple opera en 80.000 espacios y ha procesado 440 millones de inicios de sesión solo en 2024. Hemos visto todos los modos de fallo descritos en este informe y hemos desarrollado las herramientas para prevenirlos. Si desea explorar cómo se integra la capa de nube de Purple con su infraestructura existente de Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, visite purple.ai o hable con su gestor de cuenta. Gracias por su atención.

Resumen ejecutivo

header_image.png

Un invitado se conecta a su WiFi, pero la página de inicio de sesión no se carga. Ven un aviso de "Conectado, sin internet" y se rinden. Para los directores de operaciones de las instalaciones y los responsables de TI, este fallo representa una degradación directa de la experiencia del invitado, un aumento de los tickets de soporte y una oportunidad perdida para recopilar datos de primera mano, lo que justifica la inversión en infraestructura inalámbrica.

Esta guía explica exactamente cómo funciona la detección de Captive Portal a nivel de sistema operativo e identifica las seis causas principales responsables de la mayoría de los fallos de conexión. Proporciona un marco de resolución de problemas práctico y neutral con respecto al proveedor para resolver el agotamiento de DHCP, fallos de interceptación de DNS, walled gardens incompletos, redirecciones HSTS bloqueadas, conflictos de VPN activas y problemas de aleatorización de direcciones MAC.

Análisis técnico detallado: Cómo funciona realmente la detección de Captive Portal

Para resolver problemas en un portal cautivo, primero debe comprender qué hace realmente un Captive Portal a nivel de red. No es simplemente una página de inicio de sesión; es un mecanismo de interceptación de tráfico a nivel de red.

Cuando un dispositivo de invitado se une a un SSID de invitado, recibe una dirección IP a través de DHCP. El sistema operativo no espera a que el usuario abra un navegador. En su lugar, un servicio del sistema en segundo plano envía inmediatamente una solicitud HTTP GET no cifrada a una URL de sondeo controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox consulta detectportal.firefox.com.

Si la red tiene acceso abierto a internet, estos sondeos devuelven su respuesta HTTP 200 OK esperada y el sistema operativo decide que la conexión está activa. Sin embargo, en una red de invitados, la puerta de enlace inalámbrica o el controlador intercepta este sondeo HTTP antes de que pueda llegar a internet. En lugar de la respuesta esperada, la puerta de enlace devuelve un redireccionamiento temporal HTTP 307 que apunta a la página de bienvenida del Captive Portal. El sistema operativo detecta este redireccionamiento inesperado, comprende que está detrás de un Captive Portal y abre una ventana de navegador aislada (Captive Network Assistant) para mostrar la página de inicio de sesión.

portal_architecture_diagram.png

Resolución de problemas y mitigación de riesgos: Las 6 causas principales de fallo

Cuando un Captive Portal no se carga, el problema casi siempre se debe a uno de los seis modos de fallo específicos.

root_causes_infographic.png

1. Agotamiento del pool DHCP

Este es un asesino silencioso en eventos de alta densidad. Si organiza una conferencia con 2.000 asistentes y utiliza una subred /24 estándar, solo dispondrá de 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado en las 24 horas predeterminadas, su pool se agotará a los pocos minutos de abrir las puertas. Cualquier intento de conexión posterior fallará incluso antes de que comience la secuencia del Captive Portal.

Solución: Configure los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos en entornos de alta rotación. Dimensione sus subredes en función del pico de usuarios concurrentes, no solo de la asistencia media. Una subred /22 proporciona 1.022 direcciones utilizables, que es el tamaño mínimo recomendado para recintos corporativos.

2. Fallo en la interceptación de DNS

La redirección del Captive Portal depende de que la pasarela intercepte una sonda HTTP. Sin embargo, esa sonda requiere primero una búsqueda DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activará.

Solución: Asegúrese de que sus políticas de firewall permitan explícitamente las consultas DNS (puerto 53) de clientes no autenticados. Realice una captura de paquetes en un dispositivo de prueba para verificar que la interceptación de DNS funciona correctamente.

3. Walled Garden incompleto

El walled garden (lista de control de acceso previa a la autenticación) define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de inicio de su portal carga recursos de una CDN que no está incluida en el walled garden, la página se mostrará en blanco. Si ofrece inicios de sesión sociales a través de Google, Apple o Microsoft Entra ID, todos y cada uno de los dominios OAuth utilizados por esos proveedores deben estar en la lista blanca. Los proveedores de identidad social actualizan periódicamente sus rangos de IP de CDN y dominios de autenticación; un walled garden que funcionaba perfectamente hace seis meses puede dejar de funcionar de la noche a la mañana.

Solución: Programe auditorías trimestrales del walled garden. Siempre que su hardware lo admita, utilice la detección de dominios con comodines (wildcard), disponible de forma nativa en Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Purple mantiene y actualiza automáticamente estas entradas del walled garden como parte de nuestro servicio gestionado en la nube.

4. Bloqueo de redirección HSTS

HTTP Strict Transport Security (HSTS) es una política de seguridad del navegador que fuerza las conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta comunicarse con un dominio precargado con HSTS y su pasarela intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detecta una discrepancia de certificados. Esto muestra una advertencia de seguridad inevitable y bloquea por completo la redirección. Solución: No intente nunca realizar una interceptación HTTPS para la redirección inicial. Asegúrese de que su puerta de enlace solo redireccione sondas canario HTTP no cifradas. La solución a largo plazo basada en estándares es la norma RFC 8910, que define la Opción DHCP 114. Esta opción permite que su servidor DHCP anuncie la URL del Captive Portal directamente al dispositivo cliente, evitando por completo la necesidad de realizar una redirección HTTP. iOS 14 y Android 11 y versiones superiores son compatibles con esta función de forma nativa.

5. VPN activa en el dispositivo cliente

Una VPN cifra todo el tráfico procedente del dispositivo y lo enruta a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca detecta la sonda HTTP, por lo que la secuencia de detección del Captive Portal nunca se activa. Los invitados no ven la página de inicio de sesión ni tampoco tienen acceso a Internet.

Solución: El invitado debe desactivar la VPN, conectarse al portal y, a continuación, volver a activar la VPN. Para el personal de atención al público, preguntar si el invitado está utilizando una VPN debería ser el primer paso para la resolución de problemas.

6. Persistencia de la sesión interrumpida por la aleatorización de direcciones MAC

Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea mediante la dirección MAC, un invitado autenticado hace una hora puede volver a encontrarse con la página de inicio de sesión después de que cambie la MAC de su dispositivo.

Solución: La solución para los invitados es desactivar la Dirección privada para su SSID específico en los ajustes de red de su dispositivo. La solución por parte del operador es implementar una autenticación basada en perfiles, como Passpoint y OpenRoaming a través de 802.1X, que realiza la autenticación en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante.

Guía de implementación: construcción de una arquitectura resiliente

Implementar un Captive Portal bien configurado requiere decisiones de arquitectura activas.

  1. Verifique su walled garden antes de cada evento importante. Las entradas mínimas requeridas son: el FQDN de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita.
  2. Utilice un certificado TLS de confianza pública. Los certificados autofirmados generarán advertencias en el navegador de cada dispositivo. Renueve los certificados antes de que caduquen; un certificado caducado es una de las causas más comunes de fallos repentinos del portal en todo el recinto.
  3. Realice las pruebas desde un estado nuevo y sin autenticar. Probar el portal desde un dispositivo previamente autenticado omitirá el portal por completo porque la sesión sigue activa. Realice siempre las pruebas desde un dispositivo nuevo, o desde un dispositivo en el que haya olvidado la red y eliminado el perfil de WiFi.
  4. Ajuste los tiempos de espera de inactividad. Muchos controladores tienen un tiempo de espera de inactividad predeterminado de 5 minutos, lo que resulta muy agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera de inactividad en al menos 30 minutos para entornos de hostelería y comercio minorista.

Retorno de la inversión (ROI) e impacto empresarial

Los Captive Portals son una tecnología madura, pero presentan algunas complejidades inherentes. El objetivo estratégico es avanzar hacia una autenticación fluida y segura.

OpenRoaming, basado en Passpoint y 802.1X, ayuda a los clientes que regresan a conectarse de forma automática y segura sin ver ninguna página de inicio de sesión. Bajo nuestro plan Connect, Purple actúa como un proveedor de identidad gratuito para OpenRoaming. Espacios comerciales como Premier Inn y Manchester Airports Group ya lo están utilizando para eliminar las molestias de la reautenticación para los visitantes recurrentes, manteniendo al mismo tiempo el cumplimiento total de GDPR y la recopilación de datos de primera mano. Al reducir los fallos de conexión, puede aumentar directamente el volumen de datos de primera mano recopilados, impulsando la fidelización de los clientes y la interacción personalizada.

Podcast de informe técnico

Escuche un desglose detallado de estos pasos de resolución de problemas de la mano de nuestro Senior Solutions Architect en nuestro informe técnico de 10 minutos.

Definiciones clave

Captive Portal

Un mecanismo de interceptación de tráfico a nivel de red que restringe el acceso a internet hasta que el usuario realiza una acción requerida, como aceptar las condiciones o introducir sus credenciales en una página de bienvenida.

El método principal para que los establecimientos empresariales aseguren el acceso de invitados y capturen datos de primera mano.

Walled Garden

Una lista de control de acceso previa a la autenticación que define a qué direcciones IP externas o dominios puede acceder un dispositivo de invitado no autenticado.

Crucial para permitir el acceso a los recursos del portal, CDN y proveedores de identidad OAuth antes de que el usuario esté totalmente autenticado.

Captive Network Assistant (CNA)

Una ventana de navegador aislada (sandbox) y con funcionalidad limitada que el sistema operativo abre automáticamente cuando detecta una redirección de Captive Portal.

Esta es la interfaz donde el invitado realmente ve e interactúa con su página de inicio de sesión.

HSTS (HTTP Strict Transport Security)

Un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de intermediario (man-in-the-middle) al obligar a los navegadores a interactuar con ellos únicamente a través de conexiones seguras HTTPS.

HSTS impide que las pasarelas utilicen la interceptación HTTPS para redirigir a los usuarios a un Captive Portal, lo que provoca fallos de conexión si se configura de forma incorrecta.

Agotamiento del pool DHCP

Un estado en el que un servidor DHCP ha asignado todas las direcciones IP disponibles en su subred configurada, impidiendo que nuevos dispositivos se unan a la red.

Una causa común de los errores de "Conectado, sin internet" en entornos de alta densidad como estadios o conferencias.

Aleatorización de direcciones MAC

Una función de privacidad en los sistemas operativos móviles modernos que genera una dirección MAC aleatoria para cada red WiFi, evitando el seguimiento en diferentes ubicaciones.

Esta función rompe la persistencia de la sesión en los Captive Portal, obligando a los invitados a volver a autenticarse si su dirección MAC rota.

OpenRoaming

Una federación de redes WiFi que permite a los usuarios conectarse de forma automática y segura a las redes participantes sin introducir credenciales ni interactuar con un Captive Portal.

El sucesor estratégico de los Captive Portals para visitantes recurrentes, respaldado por Purple como proveedor de identidad gratuito.

RFC 8910 (DHCP Option 114)

Un estándar que permite a un servidor DHCP proporcionar directamente la URL del Captive Portal al dispositivo cliente durante la asignación de la dirección IP.

Esto evita por completo la necesidad de redirección HTTP, resolviendo los problemas causados por HSTS y mejorando la velocidad de detección del portal.

Ejemplos prácticos

Un hotel de 350 habitaciones en el centro de Londres utiliza una única subred /24 para el WiFi de invitados. Durante una gran conferencia, llegan 400 delegados simultáneamente. A los 20 minutos, los huéspedes informan de que están conectados pero no pueden acceder al portal ni a internet.

La solución inmediata es ampliar la subred a /22, proporcionando 1.022 direcciones útiles, y reducir el tiempo de concesión DHCP de 24 horas a 8 horas. La solución a largo plazo es implementar el Captive Portal gestionado en la nube de Purple, que supervisa la utilización del pool DHCP en tiempo real y alerta al equipo de red antes de que se agote.

Comentario del examinador: Este escenario demuestra el clásico agotamiento del pool DHCP. Una subred /24 solo proporciona 254 direcciones IP utilizables. Al aumentar el tamaño de la subred y reducir el tiempo de concesión, la red puede albergar la alta rotación de dispositivos típica de una conferencia.

Una importante cadena de tiendas con 200 establecimientos utiliza el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualizara su infraestructura de OAuth, los invitados pueden acceder a la página del portal, pero los botones de inicio de sesión social muestran pantallas en blanco.

El equipo de TI debe identificar los nuevos dominios de autenticación utilizados por Google y añadirlos al Walled Garden (lista de control de acceso previa a la autenticación). Para evitar esto en el futuro, deben utilizar entradas de dominio con comodines (por ejemplo, *.google.com) en lugar de codificar direcciones IP específicas, y revisar el Walled Garden trimestralmente.

Comentario del examinador: Esto pone de relieve la fragilidad de los Walled Garden estáticos cuando se depende de proveedores OAuth de terceros. Los proveedores de identidad basados en la nube cambian con frecuencia sus rangos de IP y dominios de CDN. El rastreo de comodines, soportado de forma nativa por hardware empresarial como Cisco Meraki y HPE Aruba, es el enfoque de arquitectura correcto.

Preguntas de práctica

Q1. El director de TI de un estadio informa que, durante el descanso, miles de aficionados intentan conectarse al WiFi de invitados. El portal se carga para algunos, pero muchos informan de que sus dispositivos se quedan atascados en "Obteniendo dirección IP" o muestran "Conectado, sin Internet" antes de que aparezca el portal. ¿Cuál es el fallo de arquitectura más probable?

Sugerencia: Considere el volumen de conexiones simultáneas frente a los recursos disponibles en el segmento de red.

Ver respuesta modelo

La red está experimentando un agotamiento del pool DHCP. Es probable que el tamaño de la subred sea demasiado pequeño (por ejemplo, una /24) para el pico de carga de usuarios simultáneos, y que el tiempo de concesión (lease time) de DHCP sea demasiado alto. El enfoque recomendado es aumentar el tamaño de la subred (por ejemplo, a una /22 o /21) y reducir el tiempo de concesión de DHCP para que coincida con el tiempo de permanencia esperado (por ejemplo, 3 horas para un estadio).

Q2. Un invitado se conecta a la red WiFi de su tienda. Su dispositivo muestra una advertencia de seguridad que indica "Su conexión no es privada" al intentar cargar un sitio web popular, y el Captive Portal nunca aparece. ¿Qué mecanismo está provocando este bloqueo?

Sugerencia: Piense en cómo gestionan los navegadores modernos las redirecciones forzadas en conexiones seguras.

Ver respuesta modelo

HSTS (HTTP Strict Transport Security) está bloqueando la redirección. El invitado intentó navegar a un dominio precargado en HSTS (a través de HTTPS), y la pasarela inalámbrica intentó interceptar esa conexión segura para redirigirla al portal. El navegador detectó la discordancia del certificado y bloqueó la conexión. La pasarela debe configurarse para interceptar únicamente sondas HTTP no cifradas.

Q3. Recientemente ha habilitado las opciones de inicio de sesión social con Google y Microsoft Entra ID en su Captive Portal. Los invitados informan de que la página del portal se carga, pero al hacer clic en los botones de inicio de sesión se produce un tiempo de espera agotado. El portal funciona perfectamente cuando se prueba en la red de personal sin restricciones del departamento de TI. ¿Qué configuración falta?

Sugerencia: Considere el estado de red del dispositivo del invitado antes de que se complete la autenticación.

Ver respuesta modelo

El Walled Garden (lista de control de acceso previa a la autenticación) está incompleto. Los dominios de autenticación OAuth y las CDN utilizadas por Google y Microsoft Entra ID no se han incluido en la lista de permitidos. Dado que el invitado no está autenticado, la pasarela bloquea el acceso a estos dominios externos, lo que provoca que el proceso de inicio de sesión social agote el tiempo de espera. El equipo de TI debe añadir entradas con comodines para estos proveedores de identidad en el Walled Garden.

Continúe leyendo esta serie

Troubleshooting Captive Portal Redirects: Resolving Guest WiFi Connection Failures

Cuando los invitados se conectan a su WiFi pero no pueden acceder a internet, la causa casi siempre es un redireccionamiento del captive portal mal configurado, no un fallo de hardware. Esta guía proporciona una referencia técnica detallada para directores de TI, arquitectos de red y CTO para diagnosticar y resolver toda la cadena de fallos: desde sondas de conectividad a nivel de sistema operativo y conflictos de certificados HSTS hasta brechas de autorización RADIUS y agotamiento de DHCP. Relaciona cada modo de fallo con una solución concreta y muestra cómo la capa en la nube agnóstica al hardware de Purple elimina estos problemas en despliegues de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet.

Leer la guía →

Las 10 causas principales de los tiempos de espera de DHCP en redes WiFi de alta densidad

Esta guía técnica de referencia autorizada identifica las diez causas principales de los tiempos de espera de DHCP en redes WiFi de alta densidad y proporciona estrategias de remediación prácticas e independientes del fabricante. Diseñada para directores de TI, arquitectos de redes y directores de operaciones de recintos, abarca principios de ingeniería detallados, flujos de trabajo de implementación paso a paso y resultados empresariales medibles. Aprenda a eliminar los cuellos de botella de conexión y optimice su infraestructura WiFi para ofrecer una conectividad perfecta en entornos empresariales exigentes.

Leer la guía →

Uso de la captura de paquetes (PCAP) para diagnosticar el bajo rendimiento de la red WiFi

Esta guía de referencia técnica proporciona a los responsables de TI, arquitectos de red y directores de operaciones de recintos una metodología estructurada a nivel de paquetes para diagnosticar y resolver el bajo rendimiento de las redes WiFi empresariales mediante el análisis de captura de paquetes (PCAP). Al diseccionar las tramas 802.11 sin procesar —incluidas las tasas de retransmisión, la utilización del tiempo de aire y los metadatos de la capa física—, los equipos pueden aislar con precisión los cuellos de botella de la capa de RF de los problemas de la red cableada o de las aplicaciones. Aplicable en recintos de alta densidad, como hoteles, cadenas de tiendas, estadios y centros de conferencias, esta guía ofrece flujos de trabajo de diagnóstico prácticos, casos de estudio reales y pasos de corrección de configuración para recuperar la capacidad de la red y proteger la experiencia del cliente.

Leer la guía →