Passer au contenu principal
Français
Tarifs

Résoudre l'erreur « Connecté, pas d'Internet » sur le WiFi invité

Ce guide de référence technique et faisant autorité explique comment les délais d'expiration DNS causés par des réseaux encombrés déclenchent l'erreur « Connecté, pas d'Internet » sur le WiFi invité. Il fournit aux architectes réseau et aux responsables IT des étapes de mise en œuvre concrètes pour déployer des filtres DNS d'entreprise afin de résoudre ces goulots d'étranglement et d'améliorer l'intégration des invités.

📖 5 min de lecture📝 1,103 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Solving the Connected but No Internet Error on Guest WiFi — A Purple Technical Briefing [INTRODUCTION & CONTEXT — approximately 1 minute] Welcome to the Purple Technical Briefing series. I'm your host, and today we're tackling one of the most persistent and frustrating issues in enterprise venue networking: the "connected, no internet" error on guest WiFi. If you manage WiFi infrastructure at a hotel, retail chain, stadium, or conference centre, you will have seen this. A guest's device shows full signal bars, it's associated to your access point, it's been assigned an IP address — and yet the browser returns nothing. The captive portal never loads. The guest calls the front desk. Your support team runs a ping test, everything looks fine on paper, and yet the problem keeps recurring. Here's the thing: in the vast majority of cases I encounter across enterprise deployments, this is not a hardware fault, not a firewall misconfiguration, and not a bandwidth problem in the traditional sense. It is a DNS timing issue — and it is almost always triggered by network congestion. Today I want to walk you through exactly why that happens, how to diagnose it reliably, and how deploying an enterprise DNS filter resolves the bottleneck permanently. [TECHNICAL DEEP-DIVE — approximately 5 minutes] Let's start with the fundamentals. When a guest device connects to your WiFi network, the very first thing it needs to do — before it can load a single webpage, before your captive portal can redirect it, before any authentication can happen — is resolve a domain name to an IP address via DNS. The Domain Name System is the phonebook of the internet. Without it, your device has no way of knowing where to send traffic. Now, here's where the problem begins. Most consumer devices — iPhones, Android handsets, Windows laptops — have a built-in mechanism called a captive portal detection probe. On iOS, for example, the device sends an HTTP request to a known Apple endpoint, something like captive.apple.com. On Android, it hits connectivitycheck.gstatic.com. On Windows, it probes msftconnecttest.com. These probes are designed to detect whether the network requires a login page before granting internet access. The critical point is this: these probes are DNS-dependent. The device must first resolve the domain name of the probe endpoint before it can send the HTTP request. And that DNS query has a timeout — typically between one and five seconds depending on the operating system. If the DNS resolver on your network does not respond within that window, the device concludes that the network has no internet connectivity, even though it is fully associated and has a valid IP address. That is the "connected, no internet" error. It is not a connectivity failure — it is a DNS response failure. So why does DNS fail on a congested network? This is the part that catches a lot of teams out. DNS queries are sent over UDP by default, on port 53. UDP is a connectionless protocol — there is no handshake, no acknowledgement, no retransmission at the transport layer. If a DNS packet is dropped due to network congestion, the client simply waits until the timeout expires and then either retries or gives up. On a guest WiFi network with hundreds or thousands of concurrent devices — think a stadium during a match, a hotel at full occupancy, a conference centre during a keynote — the upstream link and the DNS resolver can become saturated very quickly. The problem is compounded by the fact that guest networks typically share a single upstream DNS resolver, often the ISP's default resolver or a public resolver like 8.8.8.8. When every device on the network is simultaneously probing for captive portal detection, running background app updates, and making DNS queries for social media and streaming services, that single resolver becomes a bottleneck. Query response times climb from the normal sub-50-millisecond range into the hundreds or even thousands of milliseconds. Timeouts start occurring. The "connected, no internet" errors begin flooding in. There is also a secondary mechanism worth understanding: TTL exhaustion. DNS responses include a Time To Live value that tells the receiving device how long to cache the resolved IP address. On a congested network where devices are constantly associating and disassociating — which is common in high-density venues — cached entries expire and must be re-resolved frequently. This increases the DNS query load on the resolver precisely when the network is under the most stress. Now, the traditional response to this problem is to throw bandwidth at it — upgrade the upstream link, add more access points, implement QoS policies. These are all valid measures, but they do not address the root cause. The root cause is that your DNS resolution path is unoptimised for high-density guest environments. And that is exactly what an enterprise DNS filter solves. An enterprise DNS filter — such as the DNS filtering capability within Purple's guest WiFi platform — operates as a local, high-performance DNS resolver that sits between your guest devices and the upstream internet. Rather than forwarding every query to a remote public resolver, it maintains a local cache of frequently resolved domains, handles captive portal detection probes natively, and applies policy-based filtering to block malicious or non-compliant domains before they ever reach the upstream resolver. The result is dramatically reduced DNS query latency — typically from two-to-three-second timeouts down to sub-200-millisecond responses — which means captive portal detection probes succeed on the first attempt, the "connected, no internet" error disappears, and guest onboarding time drops significantly. From a standards perspective, this architecture aligns with IEEE 802.11 recommendations for high-density deployments and supports compliance with GDPR data handling requirements by allowing you to log and audit DNS queries — which is relevant if you are operating under a public sector or hospitality licence. It also supports PCI DSS network segmentation requirements by ensuring guest DNS traffic is isolated from your corporate resolver infrastructure. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS — approximately 2 minutes] Let me give you the practical deployment guidance. When you are rolling out an enterprise DNS filter on a guest WiFi network, there are three configuration decisions that will determine whether you succeed or fail. First, resolver placement. Your DNS filter must be deployed as close to the guest network as possible — ideally on the same VLAN or subnet as your guest access points. Every hop between the guest device and the resolver adds latency. If your DNS filter is sitting in a remote data centre and your guest network is in a hotel in Manchester, you are adding round-trip time that defeats the purpose. Use a local appliance or a cloud-delivered DNS filter with a regional point of presence. Second, captive portal DNS passthrough. This is the most common misconfiguration I see. When you deploy a DNS filter, you must ensure that the captive portal's own domain — the URL that guests are redirected to for authentication — is whitelisted in the filter. If the filter blocks or delays resolution of your captive portal domain, you will recreate the exact problem you were trying to solve. Always test captive portal resolution explicitly after deploying any DNS filtering policy. Third, TTL tuning. Configure your local DNS resolver to serve short TTLs for captive portal detection probe domains — Apple, Google, Microsoft — so that devices re-query frequently and always get a fast local response rather than waiting for a cached entry to expire and then hitting a congested upstream resolver. A TTL of 30 to 60 seconds for these specific domains is a reasonable starting point. The pitfall to avoid is over-filtering. Some teams deploy aggressive DNS blocklists that inadvertently block domains used by legitimate guest applications — streaming services, corporate VPN endpoints, cloud storage. This generates a different class of support ticket but is equally damaging to guest experience. Start with a conservative policy, monitor DNS query logs for blocked domains, and refine over a two-week period before locking down the configuration. [RAPID-FIRE Q&A — approximately 1 minute] Let me run through the questions I get asked most often on this topic. "Can I just use 8.8.8.8 as my guest DNS resolver?" You can, but under load it will timeout. A local or regional resolver will always outperform a public resolver on a congested network. "Does this affect WPA3 deployments?" No — WPA3 improves authentication security but does not change the DNS resolution path. The same DNS timeout problem occurs regardless of the encryption standard in use. "How do I know if DNS is the actual cause of my 'connected, no internet' errors?" Run a packet capture on the guest VLAN during peak load. Filter for UDP port 53 traffic. If you see DNS queries with no corresponding response within two seconds, DNS timeout is your culprit. "Does an enterprise DNS filter help with compliance?" Yes — DNS query logging provides an audit trail that supports GDPR accountability obligations and can assist with incident response. Purple's platform includes this logging natively. [SUMMARY & NEXT STEPS — approximately 1 minute] To summarise: the "connected, no internet" error on guest WiFi is overwhelmingly a DNS timing problem caused by network congestion overwhelming an unoptimised resolver path. The fix is not more bandwidth — it is a local, high-performance enterprise DNS filter that resolves captive portal detection probes quickly, maintains a local cache, and applies policy-based filtering to reduce upstream query load. The three things to do this week: run a DNS packet capture during peak load to confirm the diagnosis; review your current DNS resolver placement and identify whether it is local or remote; and evaluate an enterprise DNS filter deployment on your guest VLAN. If you want to go deeper on any of this, the Purple platform documentation covers DNS filter configuration in detail, and the guest WiFi optimisation guides on purple.ai are worth reviewing alongside this briefing. Thanks for listening — I'll see you on the next one. [END OF EPISODE]

header_image.png

Résumé Exécutif

Pour les CTO et les architectes réseau supervisant des lieux à forte densité – tels que ceux du Commerce de détail , de l' Hôtellerie , de la Santé et des Transports – l'erreur « Connecté, pas d'Internet » sur les réseaux WiFi invité est un casse-tête opérationnel persistant. Bien que souvent diagnostiquée à tort comme une défaillance matérielle d'AP ou une bande passante insuffisante en amont, la cause profonde dans les environnements d'entreprise est généralement le délai d'expiration DNS causé par la congestion du réseau.

Lorsque des centaines d'appareils sondent simultanément pour la détection de Captive Portal (par exemple, captive.apple.com), les requêtes par défaut du port UDP 53 peuvent submerger les résolveurs en amont standard. Si la réponse DNS dépasse la fenêtre de délai d'expiration au niveau du système d'exploitation (généralement 1 à 5 secondes), l'appareil suppose qu'aucune connectivité Internet n'existe, ne parvenant pas à déclencher le Captive Portal. Ce guide détaille l'architecture technique de ce mode de défaillance et démontre comment le déploiement d'un filtre DNS d'entreprise résout le goulot d'étranglement, réduisant la latence des requêtes de milliers de millisecondes à moins de 200 ms, assurant la conformité avec des normes comme IEEE 802.1X et GDPR, et améliorant considérablement l'expérience d'intégration des invités.

Plongée Technique Approfondie

Le Mécanisme de Détection de Captive Portal

Lorsqu'un appareil client s'associe à un point d'accès et reçoit un bail DHCP, il doit vérifier l'accessibilité à Internet avant de passer entièrement à un état connecté. Ceci est réalisé via des sondes de détection de Captive Portal :

  • iOS/macOS : Requête HTTP GET vers captive.apple.com
  • Android : Requête HTTP GET vers connectivitycheck.gstatic.com
  • Windows : Requête HTTP GET vers msftconnecttest.com

Avant que la requête HTTP GET ne puisse être émise, l'appareil doit résoudre le nom d'hôte via DNS. Cette requête DNS initiale est le point de défaillance critique dans les environnements à forte densité.

dns_flow_diagram.png

Pourquoi la Congestion Déclenche des Délais d'Expiration DNS

Les requêtes DNS utilisent généralement UDP, un protocole sans connexion sans retransmission au niveau de la couche transport. Dans un réseau encombré – comme un stade à la mi-temps ou un hôtel aux heures de pointe matinales – les paquets UDP sont facilement perdus ou retardés.

Si le lieu s'appuie sur un résolveur FAI standard ou un service DNS public (comme 8.8.8.8), le temps d'aller-retour (RTT) plus le temps de traitement au niveau du résolveur peut dépasser la limite de délai d'expiration codée en dur du système d'exploitation. Lorsque le délai d'expiration est atteint, l'appareil signale la connexion comme « Connecté, pas d'Internet » et arrête le processus de redirection du Captive Portal.

De plus, les valeurs courtes de Time-To-Live (TTL) sur ces domaines de sonde exacerbent le problème. Comme les appareils s'associent et se désassocient constamment, les entrées mises en cache expirent rapidement, déclenchant un flot de requêtes DNS simultanées précisément lorsque le réseau est sous charge maximale.

Le Rôle du Filtre DNS d'Entreprise

Un filtre DNS d'entreprise, tel que celui intégré à la plateforme WiFi Analytics de Purple, agit comme un résolveur haute performance, local ou proche de la périphérie. En interceptant les requêtes DNS avant qu'elles ne traversent la liaison WAN encombrée, le filtre :

  1. Met en cache les domaines à haute fréquence : Sert les domaines de sonde localement, réduisant le RTT à des niveaux inférieurs à la milliseconde.
  2. Application des politiques : Supprime immédiatement les requêtes pour les domaines malveillants ou bloqués, conservant la bande passante WAN.
  3. Journalisation d'audit : Fournit une piste d'audit pour la sécurité IT , aidant à la conformité GDPR et à la réponse aux incidents.

venue_comparison_chart.png

Guide d'Implémentation

Le déploiement d'un filtre DNS d'entreprise nécessite une planification architecturale minutieuse pour éviter d'introduire de nouveaux points de défaillance.

1. Placement du Résolveur et Optimisation de la Latence

Déployez le filtre DNS aussi près que possible de la périphérie du réseau. Pour les chaînes de vente au détail distribuées, un nœud périphérique fourni par le cloud est approprié ; pour les grands sites uniques comme les stades, un appareil localisé ou une machine virtuelle sur le commutateur central est préférable. L'objectif est de minimiser le nombre de sauts de routage entre le VLAN invité et le résolveur.

2. Liste Blanche du Captive Portal (Passthrough)

L'étape de configuration la plus critique est de s'assurer que le domaine de votre Captive Portal est explicitement mis en liste blanche. Si le filtre DNS retarde ou bloque la résolution du portail d'authentification lui-même, vous provoquerez l'erreur exacte que vous tentez de résoudre.

3. Réglage du TTL et Gestion du Cache

Configurez le résolveur local pour mettre agressivement en cache les domaines de sonde de Captive Portal. Bien que le respect des TTL en amont soit une pratique standard, la surcharge des TTL pour captive.apple.com et les domaines similaires à un minimum de 60 secondes localement peut réduire considérablement le volume de requêtes en amont lors des événements d'association de pointe.

4. Intégration avec l'Infrastructure Existante

Assurez-vous que le déploiement du filtre DNS s'aligne sur votre segmentation réseau existante. Le trafic DNS invité doit rester isolé de l'infrastructure DNS d'entreprise pour maintenir la conformité PCI DSS. Cette isolation est cruciale, que vous optimisiez le WiFi d'hôtel pour les voyageurs d'affaires ou sécurisiez un déploiement dans le secteur public.

Écoutez notre podcast de briefing technique pour plus de contexte sur ces étapes d'implémentation :

Bonnes Pratiques

  • Évitez les résolveurs publics pour les réseaux invités : S'appuyer sur 8.8.8.8 ou 1.1.1.1 comme DLe DNS attribué par le HCP pour les réseaux invités à haute densité introduit une variabilité de latence inacceptable.
  • Implémentez le DNS over HTTPS (DoH) avec précaution : Bien que le DoH améliore la confidentialité, il contourne le filtrage traditionnel du port 53. Assurez-vous que votre solution DNS d'entreprise peut inspecter ou gérer le trafic DoH si la politique du site l'exige.
  • Surveillez les pertes de paquets UDP Port 53 : Configurez votre pare-feu ou votre commutateur central pour alerter en cas de pertes excessives de paquets UDP port 53, ce qui est un indicateur principal de délais d'attente DNS imminents.
  • Examinez régulièrement les listes de blocage : Un filtrage trop agressif peut perturber des applications légitimes. Examinez les journaux de requêtes DNS chaque semaine pour identifier les faux positifs.

Pour les déploiements dans le secteur public, assurer une connectivité robuste fait partie d'initiatives plus larges d'inclusion numérique, comme récemment souligné lorsque Purple nomme Iain Fox VP Croissance – Secteur Public .

Dépannage et atténuation des risques

Lorsque l'erreur « Connecté, pas d'Internet » se produit, les équipes informatiques doivent suivre un chemin de diagnostic structuré plutôt que de supposer immédiatement un épuisement de la bande passante.

  1. Capture de paquets (PCAP) : Effectuez une capture de paquets sur le VLAN invité en filtrant pour udp port 53. Recherchez les requêtes sans réponses correspondantes dans une fenêtre de 2 secondes.
  2. Simulez la sonde : Utilisez curl ou wget depuis un appareil de test sur le VLAN invité pour accéder manuellement à http://captive.apple.com/hotspot-detect.html. Mesurez le temps de résolution DNS par rapport au temps de réponse HTTP.
  3. Vérifiez les règles du pare-feu : Vérifiez qu'aucune politique de limitation de débit ou de QoS ne ralentit par inadvertance le trafic UDP port 53 du sous-réseau invité.
  4. Vérifiez les capacités hors ligne : Dans les environnements avec une connectivité WAN intermittente, envisagez des fonctionnalités comme le Mode Cartes Hors Ligne de Purple pour maintenir un certain niveau d'engagement utilisateur même lorsque l'Internet en amont est dégradé.

ROI et impact commercial

La résolution des délais d'attente DNS a un impact direct sur les résultats financiers des opérateurs de sites.

  • Réduction des frais de support : L'erreur « Connecté, pas d'Internet » est une cause principale des tickets de support de niveau 1 dans l'hôtellerie et le commerce de détail. L'éliminer réduit les dépenses opérationnelles informatiques.
  • Augmentation de la capture de données : Un échec de chargement du Captive Portal signifie une opportunité perdue de capture de données et d'authentification utilisateur. En assurant un rendu rapide du portail, les sites maximisent le ROI de leurs plateformes WiFi Analytics .
  • Amélioration de la satisfaction des invités : Une connectivité transparente est une attente de base. Minimiser les frictions lors de l'intégration est directement corrélé à l'amélioration des Net Promoter Scores (NPS) et des avis positifs sur le site.

En passant de la perspective « nous avons besoin de plus de bande passante » à « nous avons besoin d'une résolution DNS optimisée », les architectes réseau peuvent fournir un WiFi invité de qualité entreprise qui s'adapte avec élégance sous la pression.

Définitions clés

Captive Portal Detection Probe

An automated HTTP request sent by a mobile OS (e.g., to captive.apple.com) immediately upon network association to determine if a login page is required.

If this probe fails due to DNS timeout, the OS assumes there is no internet access and shows the error.

DNS Timeout

The event where a client device abandons a DNS query because the resolver took too long to respond (typically >2-5 seconds).

The primary technical cause of 'Connected, No Internet' errors in high-density environments.

Enterprise DNS Filter

A dedicated DNS resolver that caches queries locally and applies policy-based blocking to prevent access to malicious or unwanted domains.

Used to offload query volume from congested upstream resolvers and reduce latency.

UDP Port 53

The standard connectionless transport protocol and port used for DNS queries.

Because UDP has no guaranteed delivery, DNS packets are easily dropped during network congestion.

Time-To-Live (TTL)

A value in a DNS record that dictates how long a resolver or client should cache the IP address before querying again.

Short TTLs on probe domains cause frequent re-querying, exacerbating congestion.

IEEE 802.1X

A standard for port-based Network Access Control (PNAC) providing an authentication mechanism to devices wishing to attach to a LAN or WLAN.

While secure, 802.1X environments still rely on robust DNS infrastructure for post-authentication routing.

Local Internet Breakout

Routing internet-bound traffic directly from a branch location to the internet, rather than backhauling it to a central data center.

Crucial for reducing DNS latency in distributed retail or hospitality networks.

WPA3

The latest Wi-Fi security standard that provides enhanced encryption for open and password-protected networks.

WPA3 improves security but does not alter the fundamental DNS resolution path or mitigate timeout issues.

Exemples concrets

A 400-room hotel experiences a surge of 'Connected, No Internet' complaints every morning between 7:30 AM and 8:30 AM when guests wake up and connect to the WiFi. The 1Gbps WAN link shows only 40% utilization during this time.

  1. Run a packet capture on the guest VLAN filtering for UDP port 53 during the morning peak.
  2. Identify that DNS queries to captive portal probe domains (e.g., captive.apple.com) are taking >3000ms to resolve via the ISP's default DNS.
  3. Deploy a local enterprise DNS filter on the guest subnet.
  4. Configure the DHCP server to assign the local DNS filter IP to guest devices.
  5. Whitelist the hotel's captive portal domain in the filter.
  6. Monitor resolution times, which should drop to <50ms.
Commentaire de l'examinateur : This approach correctly identifies that bandwidth is not the issue (only 40% utilized). By moving the DNS resolution to the edge, the hotel bypasses the congested ISP resolver path, ensuring captive portal probes succeed immediately.

A large retail chain rolls out a new guest WiFi network across 50 stores, but users in high-footfall flagship stores cannot load the captive portal, while users in smaller stores have no issues.

  1. Analyze the architecture: all 50 stores are tunneling guest traffic back to a central data center firewall, which then forwards DNS queries to a public resolver.
  2. In high-footfall stores, the sheer volume of concurrent association events exhausts the NAT/PAT state tables on the central firewall, causing UDP port 53 packets to be dropped.
  3. Implement a cloud-delivered enterprise DNS filter.
  4. Reconfigure the local branch routers to forward guest DNS queries directly to the cloud filter via local internet breakout, rather than backhauling them to the data center.
Commentaire de l'examinateur : Backhauling guest DNS traffic to a central hub introduces unnecessary latency and state-table exhaustion risks. Local internet breakout for DNS, combined with a cloud-based filter, scales infinitely better for distributed retail environments.

Questions d'entraînement

Q1. A stadium IT director notices that during half-time, thousands of users connect to the WiFi but fail to reach the captive portal. The core switch shows heavy UDP packet drops. Should they increase the WAN bandwidth from 2Gbps to 5Gbps?

Conseil : Consider what protocol is being dropped and whether it's related to payload bandwidth or connection state limits.

Voir la réponse type

No. Increasing WAN bandwidth will not solve the issue. The UDP packet drops indicate that the firewall or resolver cannot handle the sheer volume of concurrent DNS queries (state table exhaustion or CPU limits). The correct approach is to deploy a high-performance local DNS filter at the edge to cache and respond to these queries locally, bypassing the WAN bottleneck entirely.

Q2. You have just deployed an enterprise DNS filter on a hotel guest network. Guests can now resolve public websites quickly, but when they first connect, they are not redirected to the hotel's login page. What is the most likely configuration error?

Conseil : Think about the domain name of the login page itself.

Voir la réponse type

The most likely error is that the captive portal's own domain has not been explicitly whitelisted (passthrough) in the DNS filter. The filter is either blocking or delaying the resolution of the portal URL, preventing the redirection from completing.

Q3. A public sector organization requires all guest WiFi traffic to be logged for 90 days to comply with security policies. How does deploying an enterprise DNS filter assist with this requirement?

Conseil : Consider what data a DNS filter processes versus a standard firewall.

Voir la réponse type

An enterprise DNS filter natively logs all DNS queries made by client devices. This provides a clear, searchable audit trail of which domains were requested and when, satisfying the 90-day logging requirement without needing to perform deep packet inspection on all encrypted HTTPS payload traffic.