Saltar al contenido principal

Resolución de problemas de WiFi público: Solucionar "Conectado, sin internet" y fallas de redirección a la Splash Page

Esta guía de referencia técnica autorizada explica la mecánica subyacente de la detección de Captive Portal y detalla los seis modos principales de falla que impiden la conexión al WiFi de invitados. Proporciona a los gerentes de TI y arquitectos de red un marco de resolución de problemas práctico para resolver problemas de redirección HTTP, conflictos de DNS y desafíos de aleatorización de MAC.

📖 6 min de lectura📝 1,303 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Le damos la bienvenida a esta sesión informativa técnica de Purple. Hoy abordaremos uno de los problemas más persistentes y peor comprendidos en las redes inalámbricas empresariales: el captive portal de la red WiFi para invitados que simplemente se niega a cargar. Usted ha estado ahí. Un invitado llega a su hotel, tienda de retail, estadio o centro de conferencias. Se conecta a la red WiFi. No pasa nada. No aparece la página de inicio de sesión. No hay internet. Solo un icono girando y una creciente sensación de frustración. Para los directores de operaciones de las instalaciones y los gerentes de TI, ese momento no es solo un inconveniente menor. Representa una falla directa en la experiencia de sus invitados, un aumento en las llamadas de soporte a la recepción y una oportunidad perdida para recopilar los datos de primera mano que justifican su inversión en infraestructura inalámbrica. En esta sesión informativa, analizaremos a fondo el funcionamiento interno. Explicaremos exactamente cómo funciona la detección de captive portal a nivel del sistema operativo, identificaremos las seis causas fundamentales responsables de la gran mayoría de las fallas de conexión y le proporcionaremos un marco de resolución de problemas práctico y aplicable que puede entregar a su equipo de TI hoy mismo. Comencemos con la parte mecánica. La mayoría de las personas piensan que un captive portal es simplemente una página de inicio de sesión. En realidad, es un mecanismo de interceptación de tráfico a nivel de red, y esa distinción es sumamente importante cuando las cosas salen mal. Este es el orden de los pasos. El dispositivo de un invitado se conecta a su SSID de invitados y recibe una dirección IP a través de DHCP. En ese momento, el sistema operativo no espera a que el usuario abra un navegador. En segundo plano, un servicio del sistema inicia de inmediato una solicitud HTTP GET no cifrada a una URL de prueba controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox tiene su propia prueba en detectportal.firefox.com. Si la red tiene acceso abierto a internet, estas pruebas devuelven las respuestas esperadas y el sistema operativo concluye que todo está bien. Pero en una red de invitados, su gateway o controlador inalámbrico intercepta esa prueba HTTP antes de que llegue a internet. En lugar de la respuesta esperada, el gateway devuelve una redirección HTTP 307 que apunta a la página de bienvenida de su captive portal. El sistema operativo detecta la redirección inesperada, se da cuenta de que está detrás de un captive portal y abre una ventana de navegador aislada - a menudo llamada asistente de red cautiva o Captive Network Assistant - para mostrar la página de inicio de sesión. Ese es el camino feliz. Ahora hablemos de las seis formas en que esto se rompe. Causa raíz número uno: agotamiento del pool de DHCP. Este es el asesino silencioso en eventos de alta densidad. Si está organizando una conferencia con dos mil asistentes en una subred estándar barra 24, tiene 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado en las 24 horas predeterminadas, agotará ese pool a los pocos minutos de abrir las puertas. Cada intento de conexión posterior fallará incluso antes de que comience la secuencia del Captive Portal. La solución es sencilla: configure los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos para entornos de alta rotación, y dimensione sus subredes de manera adecuada para los usuarios concurrentes pico, no solo para el número total de personas. Causa raíz número dos: falla en la intercepción de DNS. El redireccionamiento del Captive Portal depende de que la puerta de enlace intercepte la sonda HTTP. Pero la sonda requiere primero una búsqueda de DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activa. Asegúrese de que su política de firewall permita explícitamente las consultas de DNS de clientes no autenticados, y verifique que su intercepción de DNS funcione ejecutando una captura de paquetes en un dispositivo de prueba. Causa raíz número tres: walled garden incompleto. El walled garden - también llamado lista de control de acceso previa a la autenticación - define qué dominios externos pueden alcanzar los invitados no autenticados. Si la página de inicio de su portal carga recursos desde una CDN que no está en el walled garden, la página se mostrará como una pantalla en blanco. Si ofrece inicio de sesión social a través de Google, Apple o Facebook, cada dominio de OAuth que utilicen esos proveedores debe estar en la lista de permitidos. Y aquí está el punto crítico: los proveedores de identidad social actualizan sus rangos de IP de CDN y dominios de autenticación con regularidad. Un walled garden que funcionaba perfectamente hace seis meses puede estar fallando silenciosamente hoy. Programe auditorías trimestrales de walled garden y utilice el rastreo de dominios con comodines si su hardware lo admite. En Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, esto está disponible de forma nativa. Causa raíz número cuatro: HSTS bloqueando el redireccionamiento. HTTP Strict Transport Security, o HSTS, es una política de seguridad del navegador que obliga a realizar conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta comunicarse con un dominio precargado con HSTS - lo que incluye prácticamente a todos los sitios web importantes - y su puerta de enlace intenta interceptar esa solicitud HTTPS para redireccionar al portal, el navegador detectará una discrepancia de certificados. Presentará una advertencia de seguridad que no se puede omitir y bloqueará el redireccionamiento por completo. La solución correcta es nunca intentar la intercepción de HTTPS. Su puerta de enlace solo debe redireccionar las sondas canario HTTP no cifradas. La solución a largo plazo basada en estándares es RFC 8910, que define la Opción 114 de DHCP. Esta opción permite que su servidor DHCP anuncie directamente la URL del Captive Portal al dispositivo cliente, evitando por completo la necesidad de un redireccionamiento HTTP. iOS 14 y Android 11 y versiones superiores admiten esto de forma nativa. Quinta causa raíz: VPN activa en el dispositivo del invitado. Una VPN cifra todo el tráfico desde el dispositivo y lo enruta a través de un túnel externo antes de que llegue a su puerta de enlace. Su puerta de enlace nunca detecta la sonda HTTP. La secuencia de detección del Captive Portal nunca se activa. El invitado no ve ninguna página de inicio de sesión ni acceso a internet. La solución para el invitado es sencilla: desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para su personal de atención al público, esta debería ser la primera pregunta que hagan cuando un invitado informe un problema de conexión. Sexta causa raíz: la aleatorización de direcciones MAC rompe la persistencia de la sesión. Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea mediante la dirección MAC, un invitado que se autenticó hace una hora puede volver a ver la página de inicio de sesión después de que la MAC de su dispositivo cambie. La solución del lado del invitado es desactivar la Dirección Privada para su SSID específico en la configuración de red. La solución del lado del operador es implementar la autenticación basada en perfiles - como OpenRoaming a través de Passpoint y 802.1X - que autentica en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante. Ahora hablemos de la implementación. ¿Cómo se ve en la práctica un despliegue de Captive Portal bien configurado? Comience con su arquitectura DHCP. Para cualquier recinto que espere más de 200 dispositivos simultáneos, evite el uso de una sola subred de barra-24. Utilice una barra-22 o superior, y configure los tiempos de concesión para que coincidan con el perfil de permanencia de su recinto. Un hotel establece concesiones de 8 horas. Un estadio establece concesiones de 3 horas. Un centro comercial establece concesiones de 90 minutos. Un centro de conferencias establece concesiones de 30 minutos. A continuación, valide su jardín amurallado (walled garden) antes de cada evento importante. Las entradas mínimas requeridas son: el nombre de dominio completamente calificado de su portal y todos los dominios CDN asociados, las URL de detección de Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita. En la plataforma de Purple, mantenemos y actualizamos estas entradas del jardín amurallado de forma automática como parte de nuestro servicio gestionado en la nube, lo que elimina la carga de mantenimiento manual para su equipo. Para el certificado de su portal, utilice un certificado TLS de confianza pública emitido por una autoridad de certificación reconocida. Los certificados autofirmados generarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de su vencimiento - un certificado vencido es una de las causas más comunes de fallas repentinas del portal en todo el recinto. Un error común que afecta a muchos equipos de TI: probar el portal desde un dispositivo que ya se ha autenticado previamente. La sesión de su dispositivo sigue activa, por lo que omite el portal por completo y concluye que todo funciona. Realice siempre las pruebas desde un dispositivo en un estado nuevo y no autenticado - ya sea un dispositivo nuevo o uno en el que haya olvidado la red y borrado el perfil de WiFi.Permítame presentarle dos escenarios del mundo real que ilustran estos principios. Escenario uno: un hotel de 350 habitaciones en el centro de Londres. La propiedad utilizaba una única subred diagonal 24 para el WiFi de invitados. Durante una gran conferencia, llegaron 400 delegados de forma simultánea. En un lapso de 20 minutos, el pool de DHCP se agotó. Los huéspedes reportaron estar conectados pero no podían acceder al Captive Portal ni a internet. La solución inmediata fue ampliar la subred a diagonal 22, lo que proporcionó 1,022 direcciones útiles, y reducir el tiempo de concesión de 24 a 8 horas. La solución a largo plazo fue implementar el Captive Portal gestionado en la nube de Purple, el cual monitorea la utilización del pool de DHCP en tiempo real y alerta al equipo de red antes de que ocurra el agotamiento. La tasa de falla del portal disminuyó a casi cero dentro de las 48 horas posteriores al cambio. Escenario dos: una importante cadena de tiendas de autoservicio con 200 sucursales. La cadena utilizaba el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualizó su infraestructura de OAuth, los nuevos dominios de autenticación no se encontraban en el walled garden. Los invitados podían llegar a la página del portal, pero los botones de inicio de sesión social mostraban pantallas en blanco. El equipo de TI de la cadena pasó dos días diagnosticando el problema antes de identificar la brecha en el walled garden. La solución tomó 10 minutos una vez identificada. La lección: nunca codifique de forma fija las direcciones IP en su walled garden para proveedores de OAuth basados en la nube. Utilice entradas de dominio con comodines y revíselas trimestralmente. Ahora, pasemos a algunas preguntas rápidas que escuchamos con frecuencia de los equipos de TI de los establecimientos. ¿Por qué el portal funciona en iPhones pero no en dispositivos Android? Android utiliza connectivitycheck.gstatic.com como su URL de prueba. Si su firewall bloquea ese dominio o si no está en su walled garden, los dispositivos Android nunca activarán el portal. Agréguelo de forma explícita. Un invitado dice que el portal cargó pero que no puede conectarse a internet después de iniciar sesión. Esto es casi siempre una falla de autorización de RADIUS. Verifique que su servidor RADIUS sea accesible desde el controlador inalámbrico, compruebe que el secreto compartido coincida en ambos lados y revise los registros de RADIUS en busca de mensajes de Access-Reject. ¿Cómo manejamos a los invitados que se desconectan constantemente después de unos minutos? Revise la configuración del tiempo de espera por inactividad. Muchos controladores tienen predeterminado un tiempo de espera por inactividad de 5 minutos, lo cual es demasiado agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera por inactividad en al menos 30 minutos para entornos de hotelería y comercio minorista. Para resumir los puntos clave de la sesión de hoy. Las fallas del Captive Portal de WiFi de invitados se clasifican en seis categorías: agotamiento del pool de DHCP, falla de intercepción de DNS, walled garden incompleto, bloqueo de redirección de HSTS, VPN activa en el dispositivo cliente y aleatorización de direcciones MAC. Cada una tiene una solución específica y comprobable. Para su equipo de TI, las acciones inmediatas son: auditar los tiempos de concesión de DHCP y el tamaño de las subredes, validar su walled garden frente a los dominios de OAuth actuales de sus proveedores de inicio de sesión social, y probar su portal desde un dispositivo nuevo no autenticado después de cada cambio de configuración. Para su hoja de ruta a más largo plazo, evalúe OpenRoaming como el sucesor de la reautenticación de Captive Portal para los visitantes frecuentes. La tecnología es madura, los estándares están establecidos bajo IEEE 802.1X y WPA3-Enterprise, y Purple la pone a su disposición sin costo de software adicional bajo el plan Connect. Purple opera en 80,000 establecimientos y ha procesado 440 millones de inicios de sesión solo en 2024. Hemos visto todos los modos de falla descritos en esta sesión informativa y construimos las herramientas para prevenirlos. Si desea explorar cómo se integra la plataforma en la nube de Purple con su infraestructura existente de Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, visite purple.ai o hable con su gerente de cuenta. Gracias por su atención.

Resumen Ejecutivo

header_image.png

Un invitado se conecta a su WiFi, pero la página de inicio de sesión no carga. Ven una advertencia de "Conectado, sin internet" y se rinden. Para los Directores de Operaciones de Recintos y los Gerentes de TI, esta falla representa una degradación directa de la experiencia del invitado, un aumento en los tickets de soporte y una oportunidad perdida para recopilar datos de primera mano, lo que justifica la inversión en infraestructura inalámbrica.

Esta guía explica exactamente cómo funciona la detección de Captive Portal a nivel del sistema operativo e identifica las seis causas raíz responsables de la mayoría de las fallas de conexión. Proporciona un marco de resolución de problemas práctico y neutral con respecto al proveedor para resolver el agotamiento de DHCP, fallas de intercepción de DNS, walled gardens incompletos, redireccionamientos HSTS bloqueados, conflictos de VPN activas y problemas de aleatorización de direcciones MAC.

Análisis Técnico Detallado: Cómo Funciona Realmente la Detección de Captive Portal

Para solucionar problemas de un Captive Portal, primero debe comprender qué hace realmente un Captive Portal a nivel de red. No es simplemente una página de inicio de sesión; es un mecanismo de intercepción de tráfico a nivel de red.

Cuando el dispositivo de un invitado se une a un SSID de invitados, recibe una dirección IP a través de DHCP. El sistema operativo no espera a que el usuario abra un navegador. En su lugar, un servicio de sistema en segundo plano envía inmediatamente una solicitud HTTP GET no cifrada a una URL de prueba controlada por el proveedor. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox consulta detectportal.firefox.com.

Si la red tiene acceso abierto a internet, estas pruebas devuelven su respuesta HTTP 200 OK esperada y el sistema operativo decide que la conexión está activa. Sin embargo, en una red de invitados, el gateway o controlador inalámbrico intercepta esta prueba HTTP antes de que pueda llegar a internet. En lugar de la respuesta esperada, el gateway devuelve un redireccionamiento temporal HTTP 307 que apunta a la página de bienvenida del Captive Portal. El sistema operativo detecta este redireccionamiento inesperado, comprende que está detrás de un Captive Portal y abre una ventana de navegador aislada (Captive Network Assistant) para mostrar la página de inicio de sesión.

portal_architecture_diagram.png

Resolución de Problemas y Mitigación de Riesgos: Las 6 Causas Raíz de las Fallas

Cuando un Captive Portal no se carga, el problema casi siempre se debe a uno de los seis modos de falla específicos.

root_causes_infographic.png

1. Agotamiento del Pool de DHCP

Este es un problema crítico en eventos de alta densidad. Si organiza una conferencia con 2,000 asistentes y utiliza una subred /24 estándar, solo dispondrá de 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado en el valor predeterminado de 24 horas, el pool se agotará a los pocos minutos de abrir las puertas. Cada intento de conexión posterior fallará antes de que comience la secuencia del Captive Portal.

Solución: Configure los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos en entornos de alta rotación. Dimensione sus subnets de acuerdo con el pico de usuarios simultáneos, no solo con la asistencia promedio. Una subred /22 proporciona 1,022 direcciones utilizables, que es el tamaño mínimo recomendado para recintos corporativos.

2. Fallo en la Intercepción de DNS

La redirección del Captive Portal depende de que la puerta de enlace intercepte una sonda HTTP. Sin embargo, esa sonda requiere primero una búsqueda de DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activará.

Solución: Asegúrese de que sus políticas de firewall permitan explícitamente las consultas DNS (puerto 53) de clientes no autenticados. Ejecute una captura de paquetes en un dispositivo de prueba para verificar que la intercepción de DNS funcione correctamente.

3. Walled Garden Incompleto

El walled garden (lista de control de acceso de preautenticación) define a qué dominios externos pueden acceder los invitados no autenticados. Si la splash page de su portal carga recursos de una CDN que no está incluida en el walled garden, la página se mostrará en blanco. Si ofrece inicios de sesión social a través de Google, Apple o Microsoft Entra ID, se debe incluir en la lista de elementos permitidos cada uno de los dominios OAuth utilizados por esos proveedores. Los proveedores de identidad social actualizan periódicamente sus rangos de IP de CDN y dominios de autenticación; un walled garden que funcionaba perfectamente hace seis meses puede fallar de la noche a la mañana.

Solución: Programe auditorías trimestrales del walled garden. Cuando su hardware lo admita, utilice la detección de dominios con comodines, disponible de forma nativa en Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist. Purple mantiene y actualiza automáticamente estas entradas del walled garden como parte de nuestro servicio gestionado en la nube.

4. Bloqueo de Redirección HSTS

HTTP Strict Transport Security (HSTS) es una política de seguridad del navegador que fuerza las conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta comunicarse con un dominio precargado con HSTS y su puerta de enlace intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detectará una discrepancia de certificado. Esto muestra una advertencia de seguridad inevitable y bloquea por completo la redirección.Solución: Nunca intente la intercepción de HTTPS para el redireccionamiento inicial. Asegúrese de que su gateway solo redireccione las sondas canary de HTTP no cifrado. La solución a largo plazo basada en estándares es el RFC 8910, que define la Opción DHCP 114. Esta opción permite que su servidor DHCP anuncie la URL del Captive Portal directamente al dispositivo del cliente, evitando por completo la necesidad de redireccionamiento HTTP. iOS 14 y Android 11 y versiones superiores son compatibles con esto de forma nativa.

5. VPN activa en el dispositivo del cliente

Una VPN cifra todo el tráfico del dispositivo y lo enruta a través de un túnel externo antes de que llegue a su gateway. Su gateway nunca detecta la sonda HTTP, por lo que la secuencia de detección del Captive Portal nunca se activa. Los invitados no ven ni la página de inicio de sesión ni el internet.

Solución: El invitado debe desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para el personal de atención al cliente, preguntar si el invitado está utilizando una VPN debe ser el primer paso para solucionar problemas.

6. Persistencia de la sesión interrumpida por la aleatorización de direcciones MAC

Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del Captive Portal se rastrea mediante la dirección MAC, un invitado autenticado hace una hora puede volver a ver la página de inicio de sesión después de que cambie la MAC de su dispositivo.

Solución: La solución para los invitados es desactivar la Dirección Privada para su SSID específico en la configuración de su red. La solución del lado del operador es implementar una autenticación basada en perfiles, como Passpoint y OpenRoaming a través de 802.1X, que realiza la autenticación en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante.

Guía de implementación: Creación de una arquitectura resiliente

El despliegue de un Captive Portal bien configurado requiere decisiones arquitectónicas activas.

  1. Verifique su walled garden antes de cada evento importante. Las entradas mínimas requeridas son: el FQDN de su portal y todos los dominios CDN asociados, las URL de detección del Captive Portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión social que admita.
  2. Utilice un certificado TLS de confianza pública. Los certificados autofirmados provocarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de que expiren; un certificado expirado es una de las causas más comunes de fallas repentinas del portal en todo el establecimiento.
  3. Pruebe desde un estado nuevo y no autenticado. Probar el portal desde un dispositivo previamente autenticado evitará el portal por completo porque la sesión sigue activa. Realice siempre las pruebas desde un dispositivo nuevo, o desde un dispositivo en el que haya olvidado la red y eliminado el perfil de WiFi.
  4. Ajuste los tiempos de espera de inactividad. Muchos controladores tienen predeterminado un tiempo de espera de inactividad de 5 minutos, lo cual es muy agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el tiempo de espera de inactividad en al menos 30 minutos para entornos de hotelería y retail.

ROI e en el negocio

Los Captive Portals son una tecnología madura, pero presentan algunas complejidades inherentes. El objetivo estratégico es avanzar hacia una autenticación fluida y segura.

OpenRoaming, desarrollado sobre Passpoint y 802.1X, ayuda a los visitantes recurrentes a conectarse de forma automática y segura sin ver ninguna página de inicio de sesión. Bajo nuestro plan Connect, Purple actúa como un proveedor de identidad gratuito para OpenRoaming. Sitios como Premier Inn y Manchester Airports Group ya lo están utilizando para eliminar las molestias de la reautenticación de los visitantes recurrentes, al tiempo que mantienen el cumplimiento total de GDPR y la recopilación de datos de primera mano. Al reducir las fallas de conexión, puede aumentar directamente el volumen de datos de primera mano recopilados, impulsando la fidelidad de los clientes y la interacción personalizada.

Podcast de sesión informativa técnica

Escuche un desglose detallado de estos pasos de resolución de problemas por parte de nuestro Senior Solutions Architect en nuestra sesión informativa técnica de 10 minutos.

Definiciones clave

Captive Portal

Un mecanismo de interceptación de tráfico a nivel de red que restringe el acceso a internet hasta que el usuario complete una acción requerida, como aceptar los términos o proporcionar credenciales en una splash page.

El método principal para que los establecimientos empresariales aseguren el acceso de invitados y capturen datos de primera mano.

Walled Garden

Una lista de control de acceso previa a la autenticación que define a qué direcciones IP externas o dominios se le permite acceder a un dispositivo de invitado no autenticado.

Crucial para permitir el acceso a los recursos del portal, CDN y proveedores de identidad OAuth antes de que el usuario esté completamente autenticado.

Captive Network Assistant (CNA)

Una ventana de navegador aislada (sandbox) de funcionalidad limitada que el sistema operativo abre automáticamente cuando detecta una redirección de Captive Portal.

Esta es la interfaz donde el invitado realmente ve e interactúa con su página de inicio de sesión.

HSTS (HTTP Strict Transport Security)

Un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de intermediario (man-in-the-middle) al obligar a los navegadores a interactuar con ellos únicamente a través de conexiones HTTPS seguras.

HSTS evita que las puertas de enlace utilicen la interceptación HTTPS para redireccionar a los usuarios a un Captive Portal, lo que provoca fallas de conexión si se configura de manera incorrecta.

Agotamiento del grupo DHCP

Un estado en el que un servidor DHCP ha asignado todas las direcciones IP disponibles en su subred configurada, lo que impide que nuevos dispositivos se unan a la red.

Una causa común de los errores "Conectado, sin internet" en entornos de alta densidad como estadios o conferencias.

Aleatorización de direcciones MAC

Una función de privacidad en los sistemas operativos móviles modernos que genera una dirección MAC aleatoria para cada red WiFi, lo que evita el seguimiento en diferentes ubicaciones.

Esta función interrumpe la persistencia de la sesión en los Captive Portals, lo que obliga a los invitados a volver a autenticarse si su dirección MAC cambia.

OpenRoaming

Una federación de redes WiFi que permite a los usuarios conectarse de forma automática y segura a las redes participantes sin ingresar credenciales ni interactuar con un Captive Portal.

El sucesor estratégico de los Captive Portals para visitantes recurrentes, respaldado por Purple como un proveedor de identidad gratuito.

RFC 8910 (DHCP Option 114)

Un estándar que permite a un servidor DHCP proporcionar directamente la URL del Captive Portal al dispositivo cliente durante la asignación de la dirección IP.

Esto evita por completo la necesidad de redireccionamiento HTTP, resolviendo los problemas causados por HSTS y mejorando la velocidad de detección del portal.

Ejemplos resueltos

Un hotel de 350 habitaciones en el centro de Londres ejecuta una sola subred /24 para el WiFi de invitados. Durante una gran conferencia, llegan 400 delegados de forma simultánea. En un lapso de 20 minutos, los huéspedes reportan estar conectados pero no pueden acceder al portal ni a internet.

La solución inmediata es ampliar la subred a /22, lo que proporciona 1,022 direcciones útiles, y reducir el tiempo de concesión de DHCP de 24 horas a 8 horas. La solución a largo plazo es implementar el Captive Portal gestionado en la nube de Purple, el cual monitorea la utilización del grupo DHCP en tiempo real y alerta al equipo de red antes de que ocurra el agotamiento.

Comentario del examinador: Este escenario demuestra el clásico agotamiento del grupo DHCP. Una subred /24 solo proporciona 254 direcciones IP útiles. Al aumentar el tamaño de la subred y reducir el tiempo de concesión, la red puede adaptarse a la alta rotación de dispositivos típica de un entorno de conferencias.

Una importante cadena de tiendas de autoservicio con 200 sucursales utiliza el inicio de sesión social a través de Google y Facebook en su portal de invitados. Después de que Google actualiza su infraestructura de OAuth, los invitados pueden acceder a la página del portal, pero los botones de inicio de sesión social muestran pantallas en blanco.

El equipo de TI debe identificar los nuevos dominios de autenticación utilizados por Google y agregarlos al Walled Garden (lista de control de acceso previa a la autenticación). Para evitar esto en el futuro, deben utilizar entradas de dominio con comodines (por ejemplo, *.google.com) en lugar de codificar direcciones IP específicas, y revisar el Walled Garden trimestralmente.

Comentario del examinador: Esto resalta la fragilidad de los Walled Gardens estáticos cuando se depende de proveedores de OAuth de terceros. Los proveedores de identidad basados en la nube cambian con frecuencia sus rangos de IP y dominios de CDN. El rastreo de comodines, compatible de forma nativa con hardware empresarial como Cisco Meraki y HPE Aruba, es el enfoque arquitectónico correcto.

Preguntas de práctica

Q1. El director de TI de un estadio informa que durante el medio tiempo, miles de aficionados intentan conectarse al WiFi de invitados. El portal se carga para algunos, pero muchos informan que sus dispositivos se quedan trabados en "Obteniendo dirección IP" o muestran "Conectado, sin Internet" antes de que aparezca el portal. ¿Cuál es el fallo arquitectónico más probable?

Sugerencia: Considere el volumen de conexiones concurrentes frente a los recursos disponibles en el segmento de red.

Ver respuesta modelo

La red está experimentando un agotamiento del pool de DHCP. Probablemente el tamaño de la subred es demasiado pequeño (por ejemplo, una /24) para la carga máxima de usuarios concurrentes, y el tiempo de concesión (lease time) de DHCP está configurado con un valor muy alto. El enfoque recomendado es aumentar el tamaño de la subred (por ejemplo, a una /22 o /21) y reducir el tiempo de concesión de DHCP para que coincida con el tiempo de permanencia esperado (por ejemplo, 3 horas para un estadio).

Q2. Un invitado se conecta a la red WiFi de su tienda minorista. Su dispositivo muestra una advertencia de seguridad que indica "Su conexión no es privada" al intentar cargar un sitio web popular, y el Captive Portal nunca aparece. ¿Qué mecanismo está causando este bloqueo?

Sugerencia: Piense en cómo los navegadores modernos manejan los redireccionamientos forzados en conexiones seguras.

Ver respuesta modelo

HSTS (HTTP Strict Transport Security) está bloqueando el redireccionamiento. El invitado intentó navegar a un dominio precargado con HSTS (a través de HTTPS), y el gateway inalámbrico intentó interceptar esa conexión segura para redirigirla al portal. El navegador detectó la discrepancia del certificado y bloqueó la conexión. El gateway debe configurarse para interceptar únicamente sondas HTTP no cifradas.

Q3. Recientemente habilitó las opciones de inicio de sesión social con Google y Microsoft Entra ID en su Captive Portal. Los invitados informan que la página del portal se carga, pero al hacer clic en los botones de inicio de sesión se produce un tiempo de espera agotado. El portal funciona perfectamente cuando se prueba en la red del personal de TI, la cual no tiene restricciones. ¿Qué configuración hace falta?

Sugerencia: Considere el estado de red del dispositivo del invitado antes de que se complete la autenticación.

Ver respuesta modelo

El jardín amurallado (walled garden o lista de control de acceso previa a la autenticación) está incompleto. Los dominios de autenticación OAuth y las CDN utilizadas por Google y Microsoft Entra ID no se han agregado a la lista de permitidos. Debido a que el invitado no está autenticado, el gateway bloquea el acceso a estos dominios externos, lo que provoca que el proceso de inicio de sesión social expire. El equipo de TI debe agregar entradas con comodines para estos proveedores de identidad en el jardín amurallado.

Continúe leyendo esta serie

Resolución de problemas de redirección de Captive Portal: Solución de fallas de conexión de WiFi para invitados

Cuando los invitados se conectan a su WiFi pero no pueden acceder a internet, la causa casi siempre es un Captive Portal mal configurado, no una falla de hardware. Esta guía proporciona una referencia técnica profunda para gerentes de TI, arquitectos de red y CTOs para diagnosticar y resolver toda la cadena de fallas: desde pruebas de conectividad a nivel de sistema operativo y conflictos de certificados HSTS hasta brechas de autorización RADIUS y agotamiento de DHCP. Mapea cada modo de falla con una solución concreta y muestra cómo la capa en la nube agnóstica de hardware de Purple elimina estos problemas en implementaciones de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet.

Leer la guía →

Las 10 causas principales de tiempos de espera agotados de DHCP en redes WiFi de alta densidad

Esta guía de referencia técnica autorizada identifica las diez causas principales de los tiempos de espera agotados de DHCP en redes WiFi de alta densidad y proporciona estrategias de remediación accionables y neutrales con respecto al proveedor. Diseñada para líderes de TI sénior, arquitectos de redes y directores de operaciones de recintos, cubre principios de ingeniería a profundidad, flujos de trabajo de implementación paso a paso y resultados comerciales medibles. Aprenda a eliminar los cuellos de botella de conexión y optimizar su infraestructura inalámbrica para ofrecer una conectividad perfecta en entornos empresariales exigentes.

Leer la guía →

Uso de la captura de paquetes (PCAP) para diagnosticar el bajo rendimiento de WiFi

Esta guía de referencia técnica proporciona a los gerentes de TI, arquitectos de red y directores de operaciones de recintos una metodología estructurada a nivel de paquetes para diagnosticar y resolver el bajo rendimiento de WiFi empresarial mediante el análisis de captura de paquetes (PCAP). Al diseccionar tramas 802.11 sin procesar —incluidas las tasas de retransmisión, la utilización del tiempo de aire y los metadatos de la capa física—, los equipos pueden aislar con precisión los cuellos de botella de la capa de RF de los problemas de la red cableada o de las aplicaciones. Aplicable en recintos de alta densidad, como hoteles, cadenas de retail, estadios y centros de conferencias, esta guía ofrece flujos de trabajo de diagnóstico prácticos, casos de estudio del mundo real y pasos de remediación de configuración para recuperar la capacidad de la red y proteger la experiencia del huésped.

Leer la guía →