Resolución de problemas en WiFi público: Cómo solucionar 'Conectado, sin internet' y fallas de redirección a la página de bienvenida

Le damos la bienvenida a esta sesión informativa técnica de Purple. Hoy abordamos uno de los problemas más persistentes y peor comprendidos en las redes inalámbricas empresariales: el Captive Portal de WiFi para invitados que simplemente se niega a cargar. Ya conoce la situación. Un invitado llega a su hotel, tienda minorista, estadio o centro de conferencias. Se conecta a la red WiFi. No pasa nada. No hay página de inicio de sesión. No hay internet. Solo un icono de carga girando y una creciente sensación de frustración. Para los directores de operaciones de recintos y los gerentes de TI, ese momento no es solo un inconveniente menor. Representa una falla directa en la experiencia de sus invitados, un aumento en las llamadas de soporte en recepción y una oportunidad perdida para recopilar los datos de primera mano que justifican su inversión en infraestructura inalámbrica. En esta sesión informativa, analizaremos a fondo el funcionamiento interno. Explicaremos exactamente cómo funciona la detección de Captive Portal a nivel de sistema operativo, identificaremos las seis causas principales responsables de la gran mayoría de las fallas de conexión y le ofreceremos un marco de resolución de problemas práctico y aplicable que puede entregar a su equipo de TI hoy mismo. Comencemos con el funcionamiento técnico. La mayoría de las personas piensan en un Captive Portal simplemente como una página de inicio de sesión. En realidad, es un mecanismo de interceptación de tráfico a nivel de red, y esa distinción es sumamente importante cuando las cosas salen mal. Esta es la secuencia. El dispositivo de un invitado se conecta a su SSID de invitados y recibe una dirección IP a través de DHCP. En ese momento, el sistema operativo no espera a que el usuario abra un navegador. En segundo plano, un servicio del sistema inicia inmediatamente una solicitud HTTP GET no cifrada a una URL de prueba controlada por el fabricante. Los dispositivos Apple consultan captive.apple.com. Los dispositivos Android consultan connectivitycheck.gstatic.com. Los dispositivos Windows consultan msftconnecttest.com. Firefox tiene su propia prueba en detectportal.firefox.com. Si la red tiene acceso abierto a internet, estas pruebas devuelven las respuestas esperadas y el sistema operativo concluye que todo está bien. Pero en una red de invitados, su puerta de enlace o controlador inalámbrico intercepta esa prueba HTTP antes de que llegue a internet. En lugar de la respuesta esperada, la puerta de enlace devuelve una redirección HTTP 307 que apunta a la página de bienvenida de su Captive Portal. El sistema operativo detecta la redirección inesperada, se da cuenta de que está detrás de un Captive Portal y abre una ventana de navegador segura (a menudo llamada Captive Network Assistant) para mostrar la página de inicio de sesión. Ese es el escenario ideal. Ahora hablemos de las seis formas en que esto puede fallar. Causa raíz número uno: agotamiento del pool de DHCP. Este es el asesino silencioso en eventos de alta densidad. Si organiza una conferencia con dos mil asistentes en una subred estándar barra-24, tiene 254 direcciones IP utilizables. Si el tiempo de concesión de DHCP está configurado en las 24 horas predeterminadas, agotará ese pool a los pocos minutos de abrir las puertas. Cada intento de conexión posterior falla incluso antes de que comience la secuencia del Captive Portal. La solución es sencilla: configure los tiempos de concesión de DHCP para invitados entre 15 y 30 minutos para entornos de alta rotación, y dimensione sus subredes de manera adecuada para el pico de usuarios concurrentes, no solo para el número total de asistentes. Causa raíz número dos: fallo en la intercepción de DNS. La redirección del Captive Portal depende de que la puerta de enlace intercepte la sonda HTTP. Pero la sonda requiere primero una búsqueda de DNS. Si su configuración de DNS no permite que los clientes preautenticados resuelvan nombres de dominio externos, la sonda nunca se activa. Asegúrese de que su política de firewall permita explícitamente las consultas de DNS de clientes no autenticados y verifique que la intercepción de DNS funcione ejecutando una captura de paquetes en un dispositivo de prueba. Causa raíz número tres: walled garden incompleto. El walled garden —también llamado lista de control de acceso de preautenticación— define a qué dominios externos pueden acceder los invitados no autenticados. Si la página de inicio de su portal carga recursos de una CDN que no está en el walled garden, la página se mostrará en blanco. Si ofrece inicio de sesión social a través de Google, Apple o Facebook, todos los dominios de OAuth que utilizan esos proveedores deben estar en la lista de permitidos. Y aquí está el punto crítico: los proveedores de identidad social actualizan sus rangos de IP de CDN y dominios de autenticación con regularidad. Un walled garden que funcionaba perfectamente hace seis meses podría estar fallando silenciosamente hoy. Programe auditorías trimestrales de walled garden y utilice la detección de dominios con comodines (wildcard domain snooping) si su hardware lo admite. En Cisco Meraki, HPE Aruba, Ruckus y Juniper Mist, esto está disponible de forma nativa. Causa raíz número cuatro: HSTS bloqueando la redirección. HTTP Strict Transport Security, o HSTS, es una política de seguridad del navegador que obliga a realizar conexiones a dominios específicos únicamente a través de HTTPS. Si el dispositivo de un invitado intenta contactar con un dominio precargado con HSTS —lo que incluye prácticamente a todos los sitios web principales— y su puerta de enlace intenta interceptar esa solicitud HTTPS para redirigirla al portal, el navegador detectará una discrepancia de certificado. Presentará una advertencia de seguridad que no se puede omitir y bloqueará la redirección por completo. La solución correcta es no intentar nunca la intercepción de HTTPS. Su puerta de enlace solo debe redirigir las sondas canario HTTP no cifradas. La solución a largo plazo basada en estándares es el RFC 8910, que define la Opción 114 de DHCP. Esta opción permite que su servidor DHCP anuncie directamente la URL del Captive Portal al dispositivo cliente, evitando por completo la necesidad de redirección HTTP. iOS 14 y Android 11 y superiores admiten esto de forma nativa. Causa raíz número cinco: VPN activa en el dispositivo del invitado. Una VPN cifra todo el tráfico del dispositivo y lo redirige a través de un túnel externo antes de que llegue a su gateway. Su gateway nunca ve la sonda HTTP. La secuencia de detección del captive portal nunca se activa. El invitado no ve ninguna página de inicio de sesión ni internet. La solución para el invitado es sencilla: desactivar la VPN, conectarse al portal y luego volver a activar la VPN. Para su personal de atención al cliente, esta debería ser la primera pregunta que hagan cuando un invitado informe de un problema de conexión. Causa raíz número seis: la aleatorización de la dirección MAC rompe la persistencia de la sesión. Los dispositivos modernos con iOS y Android utilizan direcciones MAC aleatorias por defecto como función de privacidad. Cada vez que un dispositivo se conecta a una red, puede presentar una dirección MAC diferente. Dado que el estado de la sesión del captive portal se rastrea mediante la dirección MAC, a un invitado que se autenticó hace una hora se le puede mostrar de nuevo la página de inicio de sesión después de que la MAC de su dispositivo cambie. La solución para el invitado es desactivar la Dirección privada para su SSID específico en la configuración de red. La solución del lado del operador es implementar una autenticación basada en perfiles, como OpenRoaming a través de Passpoint y 802.1X, que autentica en la Capa 2 utilizando credenciales en lugar de direcciones MAC, lo que hace que la aleatorización sea irrelevante. Ahora hablemos de la implementación. ¿Cómo se ve realmente un despliegue de captive portal bien configurado en la práctica? Comience con su arquitectura DHCP. Para cualquier recinto que espere más de 200 dispositivos simultáneos, evite usar una sola subred slash-24. Utilice slash-22 o superior y configure los tiempos de concesión para que coincidan con el perfil de permanencia de su recinto. Un hotel establece las concesiones en 8 horas. Un estadio establece las concesiones en 3 horas. Un centro comercial establece las concesiones en 90 minutos. Un centro de conferencias establece las concesiones en 30 minutos. A continuación, valide su walled garden antes de cada evento importante. Las entradas mínimas requeridas son: el nombre de dominio completamente calificado de su portal y todos los dominios CDN asociados, las URL de detección del captive portal para Apple, Google, Windows y Firefox, y los dominios OAuth para cada proveedor de inicio de sesión de redes sociales que admita. En la plataforma de Purple, mantenemos y actualizamos estas entradas de walled garden automáticamente como parte de nuestro servicio gestionado en la nube, lo que elimina la carga de mantenimiento manual para su equipo. Para el certificado de su portal, utilice un certificado TLS de confianza pública de una entidad emisora de certificados reconocida. Los certificados autofirmados provocarán advertencias del navegador en todos los dispositivos. Renueve los certificados antes de que venzan; un certificado caducado es una de las causas más comunes de fallas repentinas del portal en todo el recinto. Un error común en el que caen muchos equipos de TI: probar el portal desde un dispositivo que se ha autenticado previamente. La sesión de su dispositivo sigue activa, por lo que omite el portal por completo y concluye que todo funciona correctamente. Pruebe siempre desde un dispositivo en un estado nuevo y sin autenticar, ya sea un dispositivo nuevo o uno en el que haya olvidado la red y borrado el perfil de WiFi. Permítame presentarle dos escenarios del mundo real que ilustran estos principios. Escenario uno: un hotel de 350 habitaciones en el centro de Londres. La propiedad utilizaba una única subred slash-24 para el WiFi de invitados. Durante una gran conferencia, 400 delegados llegaron simultáneamente. En 20 minutos, el pool de DHCP se agotó. Los huéspedes informaron estar conectados pero no podían acceder al portal ni a internet. La solución inmediata fue ampliar la subred a slash-22, lo que proporcionó 1,022 direcciones útiles, y reducir el tiempo de concesión de DHCP de 24 horas a 8 horas. La solución a largo plazo fue implementar el Captive Portal gestionado en la nube de Purple, que monitorea la utilización del pool de DHCP en tiempo real y alerta al equipo de red antes de que ocurra el agotamiento. La tasa de fallas del portal disminuyó a casi cero dentro de las 48 horas posteriores al cambio. Escenario dos: una importante cadena de tiendas de retail con 200 sucursales. La cadena utilizaba el inicio de sesión con redes sociales a través de Google y Facebook en su portal de invitados. Después de que Google actualizara su infraestructura de OAuth, los nuevos dominios de autenticación no estaban en el walled garden. Los invitados podían acceder a la página del portal, pero los botones de inicio de sesión con redes sociales mostraban pantallas en blanco. El equipo de TI de la cadena pasó dos días diagnosticando el problema antes de identificar la brecha en el walled garden. La solución tomó 10 minutos una vez identificada. La lección: nunca codifique de forma fija (hardcode) direcciones IP en su walled garden para proveedores de OAuth basados en la nube. Utilice entradas de dominio con comodines (wildcards) y revíselas trimestralmente. Ahora, pasemos a algunas preguntas rápidas que escuchamos regularmente de los equipos de TI de los establecimientos. ¿Por qué el portal funciona en iPhones pero no en dispositivos Android? Android utiliza connectivitycheck.gstatic.com como su URL de prueba. Si su firewall bloquea ese dominio o si no está en su walled garden, los dispositivos Android nunca activarán el portal. Agréguelo de forma explícita. Un invitado menciona que el portal cargó pero no puede conectarse a internet después de iniciar sesión. Esto casi siempre se debe a una falla de autorización de RADIUS. Verifique que su servidor RADIUS sea accesible desde el controlador inalámbrico, confirme que el secreto compartido coincida en ambos lados y revise los registros de RADIUS en busca de mensajes de Access-Reject. ¿Cómo manejamos a los invitados que se desconectan constantemente después de unos minutos? Verifique la configuración del tiempo de espera por inactividad (idle timeout). Muchos controladores están configurados por defecto con un idle timeout de 5 minutos, lo cual es demasiado agresivo para los dispositivos móviles que entran en modo de suspensión entre interacciones. Establezca el idle timeout en al menos 30 minutos para entornos de hotelería y retail. Para resumir los puntos clave de la sesión de hoy: Las fallas del Captive Portal de WiFi para invitados se dividen en seis categorías: agotamiento del pool de DHCP, falla de intercepción de DNS, walled garden incompleto, bloqueo de redirección HSTS, VPN activa en el dispositivo del cliente y aleatorización de direcciones MAC. Cada una tiene una solución específica y comprobable. Para su equipo de TI, las acciones inmediatas son: auditar los tiempos de concesión de DHCP y el tamaño de las subredes, validar su walled garden frente a los dominios OAuth actuales de sus proveedores de inicio de sesión con redes sociales, y probar su portal desde un dispositivo nuevo no autenticado después de cada cambio de configuración. Para su roadmap a largo plazo, evalúe OpenRoaming como el sucesor de la reautenticación mediante captive portal para visitantes recurrentes. La tecnología es madura, los estándares están establecidos bajo IEEE 802.1X y WPA3-Enterprise, y Purple lo ofrece sin costo de software adicional con el plan Connect. Purple opera en 80,000 establecimientos y ha procesado 440 millones de inicios de sesión tan solo en 2024. Hemos visto cada uno de los modos de falla descritos en este informe y hemos desarrollado las herramientas para prevenirlos. Si desea explorar cómo la superposición en la nube de Purple se integra con su infraestructura existente de Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, visite purple.ai o hable con su gerente de cuenta. Gracias por su atención.