Troubleshooting Captive Portal Redirects: Resolving Guest WiFi Connection Failures

Resumen ejecutivo

La consulta "WiFi de invitados conectado pero sin internet" es uno de los tickets de soporte más comunes en redes empresariales. El síntoma es visible para cada visitante; la causa es invisible para la mayoría de los equipos de TI hasta que entienden la cadena de redirección. Un Captive Portal (también llamado página de bienvenida o gateway de hotspot) intercepta la sonda de conectividad HTTP inicial de un dispositivo y emite una redirección HTTP 302 a una página de inicio de sesión. Si algún paso de esa cadena falla - sondas bloqueadas, conflictos de HSTS, brechas en el walled garden, fallos de RADIUS o agotamiento de DHCP - el invitado no ve más que un icono de WiFi conectado y sin internet. Esta guía le guiará a través de cada modo de fallo, la mecánica del protocolo subyacente y los cambios de configuración que los resuelven. Purple opera en más de 80.000 sedes activas, procesando 440 millones de inicios de sesión anualmente (datos internos de Purple, 2024), y los patrones descritos aquí representan las causas de origen más frecuentes que vemos en implementaciones de hostelería, retail, transporte y sector público.

Análisis técnico profundo

Cómo funciona realmente la detección del Captive Portal

Todos los sistemas operativos principales incluyen un mecanismo integrado para detectar si una red requiere autenticación antes de conceder acceso a internet. Comprender estos mecanismos es la base de toda resolución de problemas de Captive Portal.

Cuando un dispositivo se asocia a un SSID, el OS envía una solicitud HTTP GET no cifrada a una URL predefinida. La siguiente tabla enumera las URL de sonda por plataforma.

Si el gateway intercepta una de estas solicitudes y devuelve una redirección HTTP 302 que apunta a la URL del Captive Portal, el OS reconoce que está detrás de un portal y abre un pseudonavegador (un WebView ligero) para mostrar la página de bienvenida. Si la sonda se bloquea por completo, el OS informa "Sin conexión a internet" y nunca intenta abrir el portal. Esta es la causa más común del síntoma "WiFi de invitados conectado pero sin internet".

El problema de HSTS

HTTP Strict Transport Security (HSTS) es una política de seguridad web definida en la norma RFC 6797. Indica a los navegadores que rechacen todas las conexiones HTTP estándar a un dominio y que descarten cualquier certificado que no coincida exactamente. Los principales dominios, incluidos google.com, facebook.com y la mayoría de los sitios web bancarios, están en la lista de precarga de HSTS integrada en Chrome, Firefox, Safari y Edge.

Cuando un usuario invitado abre un navegador y escribe google.com, el navegador actualiza la solicitud a HTTPS antes de que salga del dispositivo. La puerta de enlace no puede interceptar una solicitud HTTPS y redireccionarla de forma limpia, ya que tendría que presentar un certificado para google.com que no posee. El navegador detecta la incoherencia del certificado y muestra una advertencia de seguridad crítica. El usuario invitado no puede acceder a la página de inicio de sesión.

La arquitectura correcta depende por completo de las sondas HTTP a nivel de sistema operativo descritas anteriormente. Esas sondas utilizan HTTP estándar para URLs que no son HSTS específicamente para que las puertas de enlace puedan interceptarlas y redireccionarlas sin conflictos de certificados. Su puerta de enlace debe interceptar estas sondas HTTP y emitir la redirección 302. No intente interceptar el tráfico HTTPS para funciones de Captive Portal.

El walled garden

Un walled garden es el conjunto de dominios y direcciones IP a los que un dispositivo puede acceder antes de haberse autenticado. Si el walled garden es demasiado restrictivo, la página de bienvenida se cargará pero la autenticación fallará. Entre los problemas más comunes se incluyen:

• Dominios de proveedores de identidad: si utiliza Microsoft Entra ID, Okta o Google Workspace para el inicio de sesión social o SSO, sus puntos de conexión de autenticación deben estar en el walled garden.
• Dominios de CDN y activos: es posible que su página de bienvenida cargue CSS, JavaScript o fuentes desde una red de distribución de contenido. Si esos dominios de CDN están bloqueados, la página se mostrará de forma incorrecta.
• Dominios de procesadores de pago: si cobra por el acceso a través de Stripe u otro procesador, los dominios de su SDK de JavaScript deben estar autenticados previamente.
• Dominios de la plataforma Purple: la capa de la nube de Purple requiere que la puerta de enlace acceda a los servidores RADIUS de Purple y a los puntos de conexión del portal. Estos se detallan en las guías de integración de hardware de Purple para cada plataforma compatible.

RADIUS y el intervalo de autorización

RADIUS (Remote Authentication Dial-In User Service) es el protocolo que conecta su puerta de enlace local con la plataforma de autenticación. Cuando un usuario invitado completa el formulario de inicio de sesión, el Captive Portal envía las credenciales al servidor RADIUS. El servidor RADIUS devuelve un mensaje de Access-Accept o Access-Reject. La puerta de enlace actúa en función de ese mensaje abriendo o manteniendo cerrada la regla del firewall que concede el acceso a Internet.

El intervalo de autorización (cuando un usuario invitado inicia sesión correctamente en la página de bienvenida pero sigue sin tener conexión a Internet) casi siempre significa que la puerta de enlace no recibió o no procesó el mensaje Access-Accept. Entre las causas comunes se incluyen una clave secreta compartida que no coincide, el bloqueo de los puertos UDP 1812 y 1813 por parte de un firewall local o una configuración incorrecta de la dirección IP del servidor RADIUS en la puerta de enlace.

Agotamiento de DHCP en entornos de alta densidad

En estadios, centros de conferencias y centros de transporte, el agotamiento de DHCP es una causa frecuente de fallos de conexión que parece idéntica a un problema de Captive Portal. Si el pool de DHCP está lleno, un nuevo dispositivo se asocia con el punto de acceso pero nunca recibe una dirección IP. Sin una dirección IP, el dispositivo no puede enviar la sonda HTTP y nunca llega al Captive Portal. El dispositivo se muestra como conectado al SSID pero no tiene internet.

Para recintos como Manchester Airports Group (MAG), donde los volúmenes de pasajeros alcanzan picos muy marcados, las subredes deben dimensionarse para el número máximo de dispositivos simultáneos, no para la media. Los tiempos de concesión de DHCP cortos (15 - 30 minutos para redes de visitantes transitorios) recuperan rápidamente las direcciones de los dispositivos que se han marchado.

Guía de implementación

Los siguientes pasos se aplican a cualquier plataforma de hardware - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks o Fortinet - cuando se integra con la capa en la nube de Purple.

Paso 1: Configurar el SSID para el Captive Portal externo. En su controlador de hardware, configure el SSID de invitados para redirigir a los clientes no autenticados a la URL del portal externo de Purple. Desactive cualquier página de bienvenida local en el propio controlador.

Paso 2: Definir el Walled Garden. Añada como mínimo los siguientes dominios: los endpoints de portal y RADIUS de Purple (consulte su guía de integración de hardware), las URL de las sondas de detección de SO indicadas anteriormente, los dominios de su proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) y cualquier dominio de CDN que utilicen los recursos de su página de bienvenida.

Paso 3: Configurar RADIUS. Introduzca las direcciones IP del servidor RADIUS de Purple, el secreto compartido de su panel de Purple, y configure el puerto de autenticación en 1812 y el de contabilidad en 1813. Verifique que su firewall local permita UDP saliente en estos puertos.

Paso 4: Configurar los parámetros de sesión. Para hostelería y comercio minorista, establezca la duración de la sesión en 24 horas con el almacenamiento en caché de direcciones MAC habilitado. Esto evita que los huéspedes se vean obligados a volver a autenticarse durante una única visita. Para entornos de alta seguridad, es adecuado utilizar sesiones más cortas con reautenticación.

Paso 5: Dimensionar el alcance de DHCP. Calcule el número máximo de dispositivos simultáneos para su recinto en su capacidad máxima. Un restaurante de 500 plazas puede albergar 800 dispositivos durante un servicio concurrido. Dimensione el pool de DHCP a 1.000 direcciones con un tiempo de concesión de 30 minutos.

Paso 6: Probar en diferentes sistemas operativos. Después de la configuración, pruebe todo el flujo en dispositivos iOS, Android y Windows. Cada uno utiliza una URL de sonda y una implementación de WebView diferentes. Un fallo en una plataforma mientras que las otras funcionan es casi siempre un problema de configuración en el Walled Garden.

Buenas prácticas

Las siguientes recomendaciones reflejan los estándares y patrones en los más de 80.000 despliegues en recintos de Purple.

Separate guest and staff networks. Run at least three SSIDs: Guest WiFi, Staff WiFi, and an IoT network. Guest traffic must be isolated from internal systems. See our guide on Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi for architecture detail.

Use a dedicated guest VLAN. Segment guest traffic into its own VLAN to prevent lateral movement and simplify firewall policy. This is a PCI-DSS requirement if any payment card data traverses the network.

Implement conscious-choice opt-ins. GDPR requires that data collection at the captive portal is based on informed, affirmative consent. Purple's Conscious-choice opt-ins present data collection choices clearly, with separate tick boxes for each purpose. This is not optional for venues operating in the UK or EU.

Monitor portal health proactively. Purple's WiFi Analytics platform provides real-time visibility into login success rates, session counts, and authentication failures. A sudden drop in successful logins is an early warning of a RADIUS or walled garden issue before guests start complaining.

Apply consistent branding. The splash page is the first branded interaction a guest has with your network. A well-designed portal increases opt-in rates and sets expectations for the WiFi experience. See How to make a great first impression with your guest WiFi for design guidance.

-

Troubleshooting and risk mitigation

When a captive portal issue is reported, follow this diagnostic sequence before making any configuration changes.

Isolate the failure point. Ask the guest which OS and browser they are using. Test the same flow yourself on the same OS. If the issue is OS-specific, the cause is almost certainly a missing walled garden entry for that OS's probe URL.

Check DNS resolution. From a device on the guest VLAN, attempt to resolve the captive portal hostname. If DNS resolution fails, the device cannot reach the splash page even if the redirect is issued correctly. Verify that your DHCP server is distributing reliable DNS addresses and that the gateway permits DNS queries in the pre-authentication state.

Capture the redirect. Use browser developer tools (F12) or a packet capture to observe the HTTP exchange. You should see the OS probe request followed by an HTTP 302 response containing the portal URL. If you see the probe request but no 302 response, the gateway is not intercepting correctly. If you see no probe request at all, the OS has already determined it has internet access (possibly from a cached state) and is not sending the probe.

Verifique la comunicación RADIUS. En la puerta de enlace, compruebe los registros de contabilidad de RADIUS. Una autenticación correcta genera un registro Accounting-Start. Si no ve registros de contabilidad después de que un invitado inicie sesión, la comunicación RADIUS está fallando. Compruebe la clave secreta compartida, la IP del servidor y las reglas del firewall.

Compruebe la utilización de concesiones DHCP. En el servidor DHCP, revise el recuento de concesiones actuales frente al tamaño del grupo. Si la utilización supera el 90 %, se está acercando al agotamiento. Amplíe el grupo o reduzca el tiempo de concesión inmediatamente.

La siguiente tabla asocia los síntomas más comunes con sus causas principales y la solución correspondiente.

ROI e impacto empresarial

Cada fallo del Captive Portal es un evento de captura de datos perdido. La plataforma Guest WiFi de Purple convierte cada autenticación exitosa en un registro de datos de origen - nombre, correo electrónico, datos demográficos y frecuencia de visitas - que se alimenta directamente en los programas de fidelización y automatización de marketing.

Para un operador de hostelería como Premier Inn o Whitbread, una mejora del 10 % en las tasas de éxito de autenticación del portal en un patrimonio de 700 propiedades se traduce directamente en decenas de miles de registros de suscripción voluntaria adicionales al mes. Esos registros impulsan campañas de correo electrónico personalizadas con tasas de apertura mensurablemente más altas que las listas compradas.

Para los operadores de retail , el Captive Portal es el punto de entrada para comprender el tiempo de permanencia de los compradores, la frecuencia de las visitas repetidas y el comportamiento en múltiples ubicaciones. Purple ha recopilado 29.000 millones de puntos de datos (datos internos de Purple) en su red de establecimientos. Esos datos son tan buenos como la tasa de autenticación que los genera.

Para los centros de transporte como Manchester Airports Group, un WiFi de invitados fiable es una métrica de satisfacción de los pasajeros de la que se realiza un seguimiento a nivel de junta directiva. Un portal que falla de forma intermitente durante los periodos de mayor salida genera quejas y daña el Net Promoter Score del establecimiento.

Para entornos de healthcare , un WiFi para visitantes fiable reduce la presión sobre el personal clínico, que de otro modo tendría que gestionar las quejas de conectividad, y mejora las métricas de experiencia del paciente.

El SLA de disponibilidad del 99.999 % de Purple garantiza que la capa de red en la nube no sea el punto de fallo. Cuando se producen problemas con el portal, la causa casi siempre es la configuración local, algo que esta guía le ayuda a resolver sin tener que abrir un ticket de soporte.

Referencias

[1] Troubleshooting Tip: General captive portal explanation, flow and troubleshooting. Fortinet Community, noviembre de 2024. https://community.fortinet.com/fortigate-3/troubleshooting-tip-general-captive-portal-explanation-flow-and-troubleshooting-188409

[2] RFC 8910: Captive-Portal Identification in DHCP and Router Advertisements. IETF. https://www.rfc-editor.org/info/rfc8910

[3] Network Connectivity Status Indicator overview for Windows. Microsoft Learn, febrero de 2025. https://learn.microsoft.com/en-us/windows-server/networking/ncsi/ncsi-overview

[4] 7 Captive Portal Problems That Break Guest WiFi (And Quick Fixes). Spotipo, febrero de 2026. https://www.spotipo.com/post/troubleshooting-captive-portals-common-issues

[5] Solution for HSTS issues with captive portal. Ubiquiti Community. https://community.ui.com/questions/Solution-for-HSTS-issues-with-captive-portal/17b033e7-3dfe-4830-af8f-bf6ead23d8b0