Dépannage des redirections de Captive Portal : Résoudre les échecs de connexion WiFi invité

Lorsque les invités se connectent à votre WiFi mais ne peuvent pas accéder à Internet, la cause est presque toujours une mauvaise configuration de la redirection du Captive Portal - et non une défaillance matérielle. Ce guide fournit une référence technique approfondie pour les responsables informatiques, les architectes réseau et les directeurs de la technologie afin de diagnostiquer et de résoudre l'ensemble de la chaîne de défaillances : des sondes de connectivité au niveau du système d'exploitation et des conflits de certificats HSTS jusqu'aux écarts d'autorisation RADIUS et à l'épuisement du DHCP. Il associe chaque mode de défaillance à un correctif concret et montre comment la solution cloud agnostique de Purple élimine ces problèmes sur les déploiements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.

📖 9 min de lecture📝 2,237 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 9 définitions clés

Écouter ce guide

Voir la transcription du podcast

HÔTE (ANGLAIS ROYAUME-UNI, TON DE CONSULTANT CONFIANT) :

Bienvenue dans ce briefing technique de Purple. Aujourd'hui, nous nous attaquons à l'un des problèmes les plus persistants des réseaux d'entreprise : l'échec de la redirection du Captive Portal. Lorsque votre WiFi invité s'affiche comme connecté mais qu'il n'y a pas d'accès Internet, vos visiteurs s'impatientent, votre centre d'assistance est submergé et votre stratégie de capture de données s'arrête net. Dans ce briefing, nous allons décortiquer l'architecture technique des Captive Portals, analyser pourquoi les systèmes d'exploitation et navigateurs modernes les bloquent souvent, et vous donner des stratégies d'implémentation concrètes pour résoudre ces problèmes de manière permanente.

[PAUSE]

Plantons le décor. Vous avez déployé des points d'accès Cisco Meraki ou HPE Aruba sur une centaine de sites de vente au détail. Le matériel est fiable. Pourtant, les invités se plaignent de ne pas pouvoir accéder à Internet. Ils sélectionnent le SSID, leur appareil affiche l'icône WiFi, mais la splash page n'apparaît jamais. Ou pire, ils voient une erreur de certificat SSL terrifiante.

Pourquoi cela se produit-il ? Tout dépend de la manière dont les systèmes d'exploitation détectent la connectivité Internet. Lorsqu'un appareil se connecte à un réseau, il envoie une requête HTTP à une URL connue. Pour iOS, il s'agit de captive.apple.com. Pour Android, c'est connectivitycheck.gstatic.com. Windows utilise msftconnecttest.com. Si l'appareil reçoit une réponse standard HTTP 200 OK, il suppose qu'il dispose d'un accès Internet direct. Si la passerelle réseau intercepte cette requête et répond par une redirection HTTP 302 vers une autre URL, le système d'exploitation sait qu'il se trouve derrière un Captive Portal. Il ouvre alors un pseudo-navigateur pour charger la splash page.

L'échec se produit généralement à ce point d'interception.

[PAUSE]

Le premier point de défaillance majeur est la requête NCSI (Network Connectivity Status Indicator). Si votre pare-feu ou votre passerelle bloque ces requêtes HTTP non chiffrées, le système d'exploitation ne reçoit jamais la redirection 302. Il suppose simplement que le réseau est défaillant. Pour résoudre ce problème, vous devez vous assurer que vos listes de contrôle d'accès de pré-authentification autorisent le trafic HTTP vers ces URL de détection spécifiques des OS.

Le second problème, de plus en plus courant, est le mécanisme HTTP Strict Transport Security, ou HSTS. Les navigateurs modernes imposent le protocole HTTPS pour les grands domaines. Si un utilisateur se connecte à votre WiFi et tente immédiatement d'ouvrir google.com, son navigateur exige une connexion chiffrée. Lorsque votre passerelle intercepte cette requête HTTPS et tente de la rediriger vers le Captive Portal, le navigateur détecte une attaque de type "homme du milieu". Le certificat présenté par votre passerelle ne correspond pas à google.com. Le résultat est un blocage strict. L'utilisateur voit un avertissement de sécurité et ne peut pas accéder à la page de connexion.

La solution est ici double. Premièrement, appuyez-vous sur les mécanismes de détection au niveau du système d'exploitation que nous venons d'évoquer. Ils utilisent le protocole HTTP non chiffré spécifiquement pour éviter cette non-correspondance de certificat. Deuxièmement, assurez-vous que la configuration de votre walled garden est irréprochable.

Qu'est-ce qu'un walled garden ? C'est la liste des domaines et des adresses IP auxquels un invité peut accéder avant de s'authentifier. Si vous utilisez la connexion sociale via Microsoft Entra ID ou Google Workspace, ou si vous traitez des paiements via Stripe, ces domaines doivent figurer dans votre walled garden. Si ce n'est pas le cas, la splash page peut s'afficher, mais le processus d'authentification échouera silencieusement.

[PAUSE]

Prenons un scénario réel. McDonald's sert des millions de clients dans des milliers de points de vente. Ils utilisent Purple pour gérer leur WiFi invité. Si la durée d'expiration de leur session est trop courte, un client qui consulte son téléphone au cours d'un long déjeuner peut être obligé de se réauthentifier plusieurs fois. Cela gâche l'expérience. Nous recommandons de configurer la durée des sessions sur 24 heures pour les secteurs de l'hôtellerie et du commerce de détail, en utilisant la mise en cache des adresses MAC pour reconnaître les appareils récurrents de manière transparente.

[PAUSE]

Passons maintenant aux recommandations de déploiement. Lors de la mise en œuvre d'un Captive Portal, vous devez configurer votre passerelle pour intercepter correctement le trafic DNS et HTTP. Si vous utilisez un cloud overlay comme Purple, votre matériel local, qu'il s'agisse de Juniper Mist ou de Ubiquiti UniFi, doit être capable de joindre les serveurs RADIUS de Purple.

Voici un piège critique : la résolution DNS. Si l'appareil d'un invité ne peut pas résoudre le nom d'hôte de votre Captive Portal, la redirection échoue. Assurez-vous que votre serveur DHCP fournit des adresses DNS fiables et vérifiez que votre passerelle autorise les requêtes DNS à traverser le walled garden.

De plus, tenez compte de l'environnement physique. Les sites à forte densité comme les stades ou les hubs de transport, tels que Manchester Airports Group, font face à des milliers de tentatives de connexion simultanées. Si votre pool DHCP local est épuisé, les nouveaux appareils se connecteront au point d'accès mais ne recevront pas d'adresse IP. Ils n'atteindront même jamais l'étape du Captive Portal. Dimensionnez toujours vos sous-réseaux de manière appropriée pour la capacité de pointe et utilisez des durées de bail DHCP courtes pour les réseaux de visiteurs temporaires.

[PAUSE]

Place maintenant à une session rapide de questions - réponses basée sur les tickets d'assistance les plus courants.

Question un : Pourquoi le portail fonctionne-t-il sur les iPhones mais échoue-t-il sur les appareils Android ?

Réponse : Il s'agit presque certainement d'un problème de walled garden. Vous avez probablement autorisé captive.apple.com mais oublié connectivitycheck.gstatic.com. Mettez à jour vos listes de contrôle d'accès de pré-authentification.

Question deux : Les invités s'authentifient avec succès, mais n'ont toujours pas accès à Internet. Pourquoi ?

Réponse : Vérifiez votre configuration RADIUS. La passerelle ne reçoit probablement pas le message Access-Accept du serveur RADIUS, ou les règles du pare-feu post-authentification bloquent le trafic. Vérifiez le secret partagé et assurez-vous que les ports 1812 et 1813 sont ouverts.

Question trois : Pouvons-nous utiliser HTTPS pour la redirection initiale afin d'éviter les avertissements de sécurité ?

Réponse : Non. Vous ne pouvez pas intercepter une requête HTTPS sans générer une erreur de certificat, à moins d'installer un certificat racine sur chaque appareil invité, ce qui est impossible pour un WiFi public. Vous devez vous appuyer sur les requêtes système HTTP non chiffrées pour déclencher le portail.

[PAUSE]

Pour résumer : les pannes de captive portal sont rarement des défauts matériels. Il s'agit presque toujours d'erreurs de configuration dans le flux de redirection, le walled garden ou les paramètres DNS.

Premier point : assurez-vous que les URL de détection du système d'exploitation sont accessibles avant l'authentification.

Deuxième point : configurez votre walled garden afin d'inclure tous les fournisseurs d'identité et réseaux de diffusion de contenu nécessaires.

Troisième point : vérifiez la communication RADIUS entre votre passerelle et votre plateforme d'authentification.

Quatrième point : dimensionnez vos plages DHCP pour les pics de densité.

En maîtrisant ces éléments, vous éliminez les frictions de connexion. Vous ne frustrez plus vos visiteurs et commencez à capturer les données de première partie dont vous avez besoin pour fidéliser et générer des revenus. Les réseaux basés sur l'identité de Purple simplifient ce processus, en fournissant une superposition cloud indépendante du matériel qui gère de manière transparente la complexité de RADIUS, des captive portals et des analyses sur 80 000 sites actifs à travers le monde.

Merci d'avoir suivi ce Purple Technical Briefing. Pour des guides de configuration et des schémas d'architecture plus détaillés, visitez purple.ai.

Points clés à retenir

✓Les pannes de Captive Portal sont presque toujours des problèmes de configuration - et non des pannes matérielles. La chaîne de redirection comporte six étapes, et n'importe laquelle peut échouer.
✓Chaque OS envoie une URL de requête HTTP différente pour détecter les Captive Portals. Si votre passerelle bloque l'une de ces requêtes, cet OS ne verra jamais la splash page.
✓N'essayez jamais d'intercepter le trafic HTTPS pour la redirection du Captive Portal. HSTS provoque de graves erreurs de certificat. Fiez-vous aux requêtes HTTP non chiffrées de l'OS.
✓Le walled garden doit inclure les URL de requête de l'OS, les domaines des fournisseurs d'identité (Microsoft Entra ID, Google Workspace), les ressources CDN et les domaines des processeurs de paiement avant l'authentification.
✓L'authentification (remplir le formulaire de connexion) et l'autorisation (la passerelle ouvrant la règle de pare-feu) sont des étapes distinctes. Si le portail indique une réussite mais qu'il n'y a pas d'Internet, la communication RADIUS entre la passerelle et les serveurs de Purple est rompue.
✓Dans les lieux à forte densité, l'épuisement du DHCP produit des symptômes identiques à ceux d'une panne de Captive Portal. Dimensionnez votre pool DHCP pour le nombre maximal d'appareils simultanés et utilisez des durées de bail courtes.
✓Testez chaque déploiement sur iOS, Android et Windows avant la validation finale. Les échecs spécifiques à un OS indiquent des lacunes dans le walled garden, et non des erreurs de configuration fondamentales.

Résumé exécutif

La requête « WiFi invité connecté mais pas d'internet » est l'un des tickets de support les plus fréquents dans le domaine des réseaux d'entreprise. Le symptôme est visible par chaque visiteur ; la cause reste invisible pour la plupart des équipes informatiques tant qu'elles ne comprennent pas la chaîne de redirection. Un Captive Portal (également appelé page de connexion ou passerelle de point d'accès) intercepte la requête initiale de connectivité HTTP d'un appareil et émet une redirection HTTP 302 vers une page de connexion. Si une étape de cette chaîne échoue - requêtes bloquées, conflits HSTS, failles de walled garden, pannes RADIUS ou épuisement DHCP - l'invité ne voit rien d'autre qu'une icône WiFi connectée et aucun accès internet. Ce guide vous présente chaque mode de défaillance, les mécanismes de protocole sous-jacents et les modifications de configuration pour les résoudre. Purple opère sur plus de 80 000 sites actifs, traitant 440 millions de connexions par an (données internes Purple, 2024), et les schémas décrits ici représentent les causes profondes les plus fréquentes observées dans les déploiements de l'hôtellerie, du commerce de détail, des transports et du secteur public.

Analyse technique approfondie

Comment fonctionne réellement la détection du Captive Portal

Chaque système d'exploitation majeur intègre un mécanisme pour détecter si un réseau nécessite une authentification avant d'accorder l'accès à internet. Comprendre ces mécanismes est la base de tout dépannage de Captive Portal.

Lorsqu'un appareil s'associe à un SSID, l'OS envoie une requête HTTP GET non chiffrée à une URL prédéfinie. Le tableau ci-dessous répertorie les URL de test par plateforme.

Système d'exploitation	URL de test	Réponse attendue
iOS / macOS	`http://captive.apple.com/hotspot-detect.html`	HTTP 200 avec corps spécifique
Android (Google)	`http://connectivitycheck.gstatic.com/generate_204`	HTTP 204 No Content
Windows (NCSI)	`http://www.msftconnecttest.com/connecttest.txt`	HTTP 200 avec corps 'Microsoft Connect Test'
Chrome (toutes plateformes)	`http://www.gstatic.com/generate_204`	HTTP 204 No Content
Firefox	`http://detectportal.firefox.com/success.txt`	HTTP 200

Si la passerelle intercepte l'une de ces requêtes et renvoie une redirection HTTP 302 pointant vers l'URL du Captive Portal, l'OS reconnaît qu'il se trouve derrière un portail et ouvre un pseudo-navigateur (un WebView léger) pour afficher la page de connexion. Si la requête est entièrement bloquée, l'OS signale « Pas de connexion internet » et ne tente jamais d'ouvrir le portail. C'est la cause la plus fréquente du symptôme « WiFi invité connecté mais pas d'internet ».

Le problème HSTS

Le protocole HTTP Strict Transport Security (HSTS) est une politique de sécurité web définie dans la RFC 6797. Il indique aux navigateurs de refuser toutes les connexions HTTP simples vers un domaine et de rejeter tout certificat qui ne correspond pas exactement. Les domaines majeurs tels que google.com, facebook.com et la plupart des sites bancaires figurent sur la liste de préchargement HSTS intégrée à Chrome, Firefox, Safari et Edge.

Lorsqu'un visiteur ouvre un navigateur et saisit google.com, le navigateur met à niveau la requête vers HTTPS avant qu'elle ne quitte l'appareil. La passerelle ne peut pas intercepter une requête HTTPS et la rediriger proprement - elle devrait présenter un certificat pour google.com, qu'elle ne possède pas. Le navigateur détecte l'incohérence du certificat et affiche un avertissement de sécurité strict. Le visiteur ne peut pas accéder à la page de connexion.

La bonne architecture repose entièrement sur les sondes HTTP au niveau du système d'exploitation décrites ci-dessus. Ces sondes utilisent le protocole HTTP simple vers des URL non HSTS précisément pour que les passerelles puissent les intercepter et les rediriger sans conflit de certificat. Votre passerelle doit intercepter ces sondes HTTP et émettre la redirection 302. N'essayez pas d'intercepter le trafic HTTPS pour les besoins du Captive Portal.

Le walled garden (environnement sécurisé)

Un walled garden est l'ensemble des domaines et des adresses IP qu'un appareil peut atteindre avant de s'être authentifié. Si le walled garden est trop restreint, la page de démarrage peut se charger mais l'authentification échouera. Les lacunes courantes comprennent :

Domaines des fournisseurs d'identité : Si vous utilisez Microsoft Entra ID, Okta ou Google Workspace pour la connexion sociale ou SSO, leurs points de terminaison d'authentification doivent se trouver dans le walled garden.
Domaines de CDN et d'actifs : Votre page de démarrage peut charger du CSS, du JavaScript ou des polices de caractères à partir d'un réseau de diffusion de contenu. Si ces domaines de CDN sont bloqués, la page s'affichera de manière incorrecte.
Domaines des processeurs de paiement : Si vous facturez l'accès via Stripe ou un autre processeur, les domaines de leur SDK JavaScript doivent être pré-authentifiés.
Domaines de la plateforme Purple : L'overlay cloud de Purple nécessite que la passerelle puisse joindre les serveurs RADIUS et les points de terminaison du portail de Purple. Ceux-ci sont documentés dans les guides d'intégration matérielle de Purple pour chaque plateforme prise en charge.

RADIUS et le problème d'autorisation

Le protocole RADIUS (Remote Authentication Dial-In User Service) est le protocole qui connecte votre passerelle locale à la plateforme d'authentification. Lorsqu'un visiteur remplit le formulaire de connexion, le Captive Portal envoie les identifiants au serveur RADIUS. Le serveur RADIUS renvoie un message Access-Accept ou Access-Reject. La passerelle applique ce message en ouvrant ou en laissant fermée la règle de pare-feu qui accorde l'accès à internet.

Le problème d'autorisation - lorsqu'un visiteur se connecte avec succès sur la page de démarrage mais n'a toujours pas d'accès à internet - signifie presque toujours que la passerelle n'a pas reçu ou traité le message Access-Accept. Les causes courantes incluent un secret partagé incorrect, les ports UDP 1812 et 1813 bloqués par un pare-feu local, ou l'adresse IP du serveur RADIUS mal configurée sur la passerelle.

Épuisement du DHCP dans les environnements à haute densité

Dans les stades, les centres de conférence et les hubs de transport, l'épuisement du pool DHCP est une cause fréquente d'échecs de connexion qui semble identique à un problème de Captive Portal. Si le pool DHCP est plein, un nouvel appareil s'associe au point d'accès mais ne reçoit jamais d'adresse IP. Sans adresse IP, l'appareil ne peut pas envoyer la requête HTTP et n'atteint jamais le Captive Portal. L'appareil s'affiche comme connecté au SSID mais n'a pas d'accès Internet.

Pour des sites comme Manchester Airports Group (MAG), où les volumes de passagers connaissent des pics importants, les sous-réseaux doivent être dimensionnés pour le nombre maximal d'appareils simultanés, et non pour la moyenne. Des durées de bail DHCP courtes (15 à 30 minutes pour les réseaux de visiteurs temporaires) permettent de récupérer rapidement les adresses des appareils partis.

Guide d'implémentation

Les étapes suivantes s'appliquent à toutes les plateformes matérielles - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - lors de l'intégration avec l'overlay cloud de Purple.

Étape 1 : Configurer le SSID pour le Captive Portal externe. Dans votre contrôleur matériel, configurez le SSID invité pour rediriger les clients non authentifiés vers l'URL du portail externe de Purple. Désactivez toute page d'accueil locale sur le contrôleur lui-même.

Étape 2 : Définir le walled garden. Ajoutez au minimum les domaines suivants : les points de terminaison du portail et RADIUS de Purple (consultez votre guide d'intégration matérielle), les URL de détection d'OS listées ci-dessus, les domaines de votre fournisseur d'identité (Microsoft Entra ID, Okta ou Google Workspace), et tous les domaines de CDN utilisés par les ressources de votre page d'accueil.

Étape 3 : Configurer le RADIUS. Saisissez les adresses IP du serveur RADIUS de Purple, le secret partagé de votre tableau de bord Purple, et configurez le port d'authentification sur 1812 et le port de comptabilité sur 1813. Vérifiez que votre pare-feu local autorise le trafic UDP sortant sur ces ports.

Étape 4 : Définir les paramètres de session. Pour l'hôtellerie et le commerce de détail, configurez la durée de la session sur 24 heures avec la mise en cache des adresses MAC activée. Cela évite aux clients d'avoir à se réauthentifier au cours d'une même visite. Pour les environnements à haute sécurité, des sessions plus courtes avec réauthentification sont plus appropriées.

Étape 5 : Dimensionner votre plage DHCP. Calculez le nombre maximal d'appareils simultanés pour votre site à pleine capacité. Un restaurant de 500 places peut voir passer 800 appareils lors d'un service chargé. Dimensionnez le pool DHCP à 1 000 adresses avec un temps de bail de 30 minutes.

Étape 6 : Tester sur tous les systèmes d'exploitation. Après la configuration, testez l'ensemble du parcours sur des appareils iOS, Android et Windows. Chacun utilise une URL de détection et une implémentation de WebView différentes. Un échec sur une plateforme alors que les autres fonctionnent est presque toujours dû à un oubli dans le walled garden.

Bonnes pratiques

Les recommandations suivantes reflètent les standards et modèles observés sur plus de 80 000 déploiements de sites Purple.

Séparez les réseaux invités et collaborateurs. Configurez au moins trois SSIDs : Guest WiFi, Staff WiFi et un réseau IoT. Le trafic invité doit être isolé des systèmes internes. Consultez notre guide Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi pour les détails d'architecture.

Utilisez un VLAN invité dédié. Segmentez le trafic invité dans son propre VLAN pour empêcher les mouvements latéraux et simplifier les règles de pare-feu. C'est une exigence PCI-DSS si des données de cartes de paiement transitent par le réseau.

Implémentez des consentements explicites. Le GDPR exige que la collecte de données sur le Captive Portal repose sur un consentement éclairé et affirmatif. Les options de consentement de Purple présentent les choix de collecte de données de manière claire, avec des cases à cocher distinctes pour chaque finalité. Ce n'est pas optionnel pour les établissements opérant au Royaume-Uni ou dans l'UE.

Surveillez la santé du portail de manière proactive. La plateforme WiFi Analytics de Purple offre une visibilité en temps réel sur les taux de réussite des connexions, le nombre de sessions et les échecs d'authentification. Une baisse soudaine des connexions réussies est un avertissement précoce d'un problème RADIUS ou de walled garden avant que les invités ne commencent à se plaindre.

Appliquez une image de marque cohérente. Le portail d'accès est la première interaction de marque qu'un invité a avec votre réseau. Un portail bien conçu augmente les taux de conversion et définit les attentes pour l'expérience WiFi. Consultez How to make a great first impression with your guest WiFi pour des conseils de conception.

Dépannage et atténuation des risques

Lorsqu'un problème de Captive Portal est signalé, suivez cette séquence de diagnostic avant d'apporter des modifications de configuration.

Isolez le point de défaillance. Demandez à l'invité quel OS et quel navigateur il utilise. Testez le même parcours vous-même sur le même OS. Si le problème est spécifique à un OS, la cause est presque certainement une entrée de walled garden manquante pour l'URL de test de cet OS.

Vérifiez la résolution DNS. Depuis un appareil connecté au VLAN invité, tentez de résoudre le nom d'hôte du Captive Portal. Si la résolution DNS échoue, l'appareil ne peut pas atteindre le portail d'accès même si la redirection est correctement émise. Vérifiez que votre serveur DHCP distribue des adresses DNS fiables et que la passerelle autorise les requêtes DNS en phase de pré-authentification.

Capturez la redirection. Utilisez les outils de développement du navigateur (F12) ou une capture de paquets pour observer l'échange HTTP. Vous devriez voir la requête de test de l'OS suivie d'une réponse HTTP 302 contenant l'URL du portail. Si vous voyez la requête de test mais aucune réponse 302, la passerelle n'effectue pas l'interception correctement. Si vous ne voyez aucune requête de test, l'OS a déjà déterminé qu'il dispose d'un accès Internet (probablement via un état mis en cache) et n'envoie pas la requête. Vérifiez la communication RADIUS. Sur la passerelle, vérifiez les journaux de comptabilité RADIUS. Une authentification réussie produit un enregistrement Accounting-Start. Si vous ne voyez aucun enregistrement de comptabilité après la connexion d'un invité, la communication RADIUS est interrompue. Vérifiez le secret partagé, l'IP du serveur et les règles de pare-feu.

Vérifiez l'utilisation des baux DHCP. Sur le serveur DHCP, examinez le nombre de baux actuels par rapport à la taille du pool. Si l'utilisation dépasse 90 %, vous approchez de l'épuisement. Élargissez le pool ou réduisez immédiatement la durée du bail.

Le tableau suivant associe les symptômes les plus courants à leurs causes profondes et au correctif approprié.

Symptôme	Cause profonde la plus probable	Correctif
Le portail n'apparaît jamais sur aucun appareil	Sonde de l'OS bloquée par l'ACL de la passerelle	Ajoutez les URL de sonde à la liste d'autorisation de pré-authentification
Le portail apparaît sur iOS, pas sur Android	URL de la sonde Android manquante dans le walled garden	Ajoutez `connectivitycheck.gstatic.com` au walled garden
Erreur de certificat HTTPS lors du chargement du portail	La passerelle intercepte le HTTPS au lieu du HTTP	S'appuyer uniquement sur l'interception de la sonde HTTP
Le portail se charge, pas d'internet après la connexion	RADIUS Access-Accept non reçu par la passerelle	Vérifiez le secret partagé, les ports 1812/1813, l'IP du serveur RADIUS
Le bouton de connexion sociale échoue sans message	Le domaine du fournisseur d'identité n'est pas dans le walled garden	Ajoutez les points de terminaison Microsoft Entra ID / Google Workspace
Les invités doivent se réauthentifier à chaque visite	Durée de session trop courte ou mise en cache MAC désactivée	Définissez la session sur 24 heures, activez la mise en cache des adresses MAC
Pannes intermittentes aux heures de pointe	Épuisement du pool DHCP	Élargissez le sous-réseau, réduisez la durée du bail

ROI et impact commercial

Chaque échec de Captive Portal est un événement de capture de données manqué. La plateforme Guest WiFi de Purple convertit chaque authentification réussie en un enregistrement de données de première partie - nom, e-mail, données démographiques et fréquence des visites - qui alimente directement l'automatisation du marketing et les programmes de fidélité.

Pour un opérateur de l' hôtellerie comme Premier Inn ou Whitbread, une amélioration de 10 % des taux de réussite de l'authentification sur le portail dans un parc de 700 propriétés se traduit directement par des dizaines de milliers d'enregistrements d'opt-in supplémentaires par mois. Ces enregistrements alimentent des campagnes d'e-mailing personnalisées avec des taux d'ouverture nettement plus élevés que les listes achetées.

Pour les opérateurs de la vente au détail , le Captive Portal est le point d'entrée pour comprendre le temps de présence des acheteurs, la fréquence des visites répétées et le comportement multi-sites. Purple a collecté 29 milliards de points de données (données internes de Purple) à travers son réseau de sites. Ces données ne valent que ce que vaut le taux d'authentification qui les génère.

Pour les hubs de transport comme Manchester Airports Group, un WiFi invité fiable est une mesure de satisfaction des passagers suivie au niveau de la direction. Un portail qui échoue par intermittence pendant les périodes de pointe de départ génère des plaintes et nuit au Net Promoter Score du site. Pour les environnements de santé , un WiFi visiteur fiable réduit la pression sur le personnel clinique qui devrait autrement gérer les plaintes de connectivité, et soutient les indicateurs de satisfaction des patients.

Le SLA de disponibilité de 99,999 % de Purple garantit que la superposition cloud elle-même n'est pas le point de défaillance. Lorsque des problèmes de portail surviennent, la cause est presque toujours une configuration locale - ce guide vous permet de résoudre cela sans ouvrir de ticket de support.

Références

[1] Troubleshooting Tip: General captive portal explanation, flow and troubleshooting. Fortinet Community, novembre 2024. https://community.fortinet.com/fortigate-3/troubleshooting-tip-general-captive-portal-explanation-flow-and-troubleshooting-188409

[2] RFC 8910: Captive-Portal Identification in DHCP and Router Advertisements. IETF. https://www.rfc-editor.org/info/rfc8910

[3] Network Connectivity Status Indicator overview for Windows. Microsoft Learn, février 2025. https://learn.microsoft.com/en-us/windows-server/networking/ncsi/ncsi-overview

[4] 7 Captive Portal Problems That Break Guest WiFi (And Quick Fixes). Spotipo, février 2026. https://www.spotipo.com/post/troubleshooting-captive-portals-common-issues

[5] Solution for HSTS issues with captive portal. Ubiquiti Community. https://community.ui.com/questions/Solution-for-HSTS-issues-with-captive-portal/17b033e7-3dfe-4830-af8f-bf6ead23d8b0

Définitions clés

Captive Portal

Une page web présentée à un appareil rejoignant un réseau avant que l'accès complet à internet ne soit accordé. La passerelle intercepte la sonde de connectivité HTTP initiale de l'appareil et la redirige vers l'URL du portail.

Le mécanisme derrière chaque page de connexion WiFi invité, des halls d'hôtel aux tribunes de stades. Défini dans la RFC 8910.

Walled garden

L'ensemble des domaines et des adresses IP qu'un appareil peut atteindre avant de terminer l'authentification sur le Captive Portal. Le trafic vers les destinations du walled garden contourne l'obligation d'authentification.

Doit inclure les URL de sonde du système d'exploitation, les points de terminaison du fournisseur d'identité, les domaines de CDN et les domaines du processeur de paiement. Un walled garden mal configuré est la deuxième cause la plus fréquente d'échec de Captive Portal.

NCSI (Network Connectivity Status Indicator)

Une fonctionnalité Windows qui interroge `msftconnecttest.com` pour déterminer si l'appareil dispose d'un accès internet ou s'il se trouve derrière un Captive Portal. Défini dans la documentation réseau de Microsoft.

Si la passerelle bloque cette sonde, Windows signale "Pas d'accès internet" et ne déclenche jamais le WebView du Captive Portal. La solution consiste à ajouter l'URL NCSI à la liste d'autorisation de pré-authentification.

HSTS (HTTP Strict Transport Security)

Une politique de sécurité web définie dans la norme RFC 6797 qui ordonne aux navigateurs de refuser les connexions HTTP simples et de rejeter tout certificat qui ne correspond pas exactement au domaine.

Empêche les passerelles d'intercepter les requêtes HTTPS pour la redirection vers le Captive Portal. Les principaux domaines, y compris google.com, figurent sur la liste de préchargement HSTS de tous les grands navigateurs.

Redirection HTTP 302

Un code de réponse HTTP standard indiquant que la ressource demandée est temporairement située à une URI différente, fournie dans l'en-tête Location.

Le mécanisme utilisé par les passerelles pour détourner la sonde de connectivité d'un appareil vers la page de connexion du Captive Portal. Certaines passerelles utilisent plutôt un code HTTP 303 ou HTTP 200 avec un corps de redirection.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau fournissant une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité (AAA), fonctionnant sur UDP sur les ports 1812 (authentification) et 1813 (comptabilité).

La plateforme cloud de Purple fait office de serveur RADIUS. La passerelle locale (Meraki, Aruba, etc.) envoie les requêtes d'authentification aux serveurs RADIUS de Purple et agit en fonction de la réponse Access-Accept ou Access-Reject.

Mise en cache des adresses MAC

Le processus de stockage de l'identifiant matériel unique d'un appareil afin de reconnaître les appareils qui reviennent et de maintenir l'état de la session sans nécessiter de ré-authentification.

Permet la persistance de la session lors de déconnexions brèves et de visites répétées au cours de la fenêtre de session. Essentiel pour les environnements hôteliers où les clients se déplacent d'une zone à l'autre.

Identity-Based Networks

Le modèle d'architecture de Purple dans lequel les politiques d'accès, l'attribution de VLAN et les analyses sont appliquées en fonction de l'identité authentifiée de l'utilisateur plutôt que de la seule adresse IP ou MAC de l'appareil.

Permet un contrôle d'accès granulaire, des expériences personnalisées et une attribution précise du comportement du réseau aux utilisateurs individuels sur les matériels Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Épuisement DHCP

Une condition dans laquelle toutes les adresses IP disponibles dans un pool DHCP ont été attribuées, empêchant les nouveaux appareils d'obtenir une adresse et donc d'accéder au Captive Portal.

Fréquent dans les lieux à forte densité pendant les périodes de pointe. Se manifeste de la même manière qu'un échec de Captive Portal - l'appareil indique qu'il est connecté au SSID mais n'a pas d'accès internet. Diagnostiqué en vérifiant l'utilisation des baux DHCP sur le serveur.

Exemples concrets

Un hôtel de 200 chambres équipé de points d'accès HPE Aruba signale que les clients utilisant des appareils Android ne peuvent pas accéder au Captive Portal, tandis que les utilisateurs d'iOS se connectent sans problème. L'équipe informatique a confirmé que l'URL du portail est accessible depuis le VLAN de gestion.

L'équipe informatique doit inspecter le walled garden de pré-authentification sur le contrôleur HPE Aruba. Les appareils iOS interrogent captive.apple.com, qui est probablement déjà sur liste blanche. Les appareils Android interrogent connectivitycheck.gstatic.com et clients3.google.com/generate_204. Ces domaines Google sont presque certainement absents du walled garden. Leur ajout à la liste d'autorisation de pré-authentification résout le problème. L'équipe doit également ajouter connectivitycheck.android.com en tant qu'URL de sonde Android secondaire. Après avoir mis à jour le walled garden, redémarrez les SSID concernés et testez sur un appareil Android réinitialisé aux paramètres d'usine pour confirmer le correctif, car l'état du réseau mis en cache sur un appareil précédemment connecté peut masquer le résultat.

Commentaire de l'examinateur : Ce scénario illustre la nature spécifique au système d'exploitation de la détection du Captive Portal. Chaque plateforme utilise des URL de sonde différentes, et un walled garden configuré pour un seul système d'exploitation produira exactement ce schéma d'échec asymétrique. Le signal de diagnostic clé est que la défaillance est spécifique au type d'appareil, et non intermittente sur tous les appareils. Des défaillances intermittentes sur tous les appareils orienteraient plutôt vers des problèmes de RADIUS ou de DHCP.

Une chaîne de vente au détail comptant 150 équipements Cisco Meraki MX signale que les invités s'authentifient sur la splash page Purple - le tableau de bord Purple affiche des connexions réussies - mais les invités n'ont toujours pas d'accès Internet après avoir rempli le formulaire. Le problème affecte tous les sites simultanément.

Puisque la plateforme cloud Purple affiche des connexions réussies, l'étape d'authentification elle-même fonctionne. L'échec se situe au niveau de l'étape d'autorisation : l'équipement Meraki ne reçoit pas ou ne traite pas le message RADIUS Access-Accept provenant des serveurs RADIUS de Purple. L'équipe doit vérifier trois points dans l'ordre : d'abord, s'assurer que le secret partagé RADIUS sur le tableau de bord Meraki correspond exactement au secret du portail Purple (une différence d'un seul caractère provoque un échec silencieux) ; ensuite, confirmer que le trafic UDP sortant sur les ports 1812 et 1813 est autorisé depuis l'équipement Meraki vers les adresses IP du serveur RADIUS de Purple ; enfin, vérifier si une modification récente du réseau a introduit une règle de pare-feu ou une politique NAT bloquant ce trafic. Étant donné que le problème affecte les 150 sites simultanément, la cause est probablement une modification centralisée de la politique de pare-feu ou un changement d'adresse IP du serveur RADIUS de Purple qui n'a pas été propagé aux configurations Meraki.

Commentaire de l'examinateur : L'élément de diagnostic essentiel ici est que le tableau de bord Purple affichant des connexions réussies signifie que l'étape d'authentification cloud est terminée. L'échec se situe donc au niveau de l'application locale - le message RADIUS du cloud vers la passerelle. Cette distinction entre l'authentification côté cloud et l'autorisation côté local est fondamentale pour le dépannage de tout déploiement de Captive Portal utilisant une architecture cloud overlay.

Questions d'entraînement

Q1. Lors d'une conférence majeure dans un lieu de 5 000 places, l'équipe informatique reçoit des signalements indiquant que des centaines de participants ne peuvent pas accéder au portail WiFi invité. Les points d'accès affichent des nombres d'associations normaux. Le problème a commencé 45 minutes après le début de l'événement. Quelle est la cause la plus probable et quelle est la solution immédiate ?

Conseil : Le problème a commencé après le début de l'événement, et non au lancement. Pensez à la ressource qui se raréfie à mesure que d'autres appareils se connectent.

Voir la réponse type

La cause la plus probable est l'épuisement du pool DHCP. À mesure que les participants arrivaient et s'associaient au SSID, le pool DHCP s'est rempli. Les nouveaux appareils s'associent au point d'accès mais ne peuvent pas obtenir d'adresse IP, de sorte qu'ils n'envoient jamais la requête HTTP requise pour déclencher le Captive Portal. La solution immédiate consiste à réduire la durée du bail DHCP à 15 minutes (pour récupérer plus rapidement les adresses des appareils partis) et, si possible, à étendre le pool en ajoutant un deuxième sous-réseau. La solution à plus long terme consiste à dimensionner le pool DHCP pour le nombre maximal d'appareils simultanés lors du prochain événement, et non pour la moyenne.

Q2. Vous avez déployé Purple sur des points d'accès Ubiquiti UniFi dans une chaîne de magasins. La splash page se charge correctement sur tous les appareils. Les clients remplissent le formulaire de capture d'e-mail et voient un message de réussite. Mais lorsqu'ils tentent de naviguer, ils n'ont pas d'accès Internet. Le tableau de bord Purple indique que les connexions ont réussi. Que vérifiez-vous en premier ?

Conseil : La plateforme cloud a enregistré l'authentification. L'échec se situe au niveau de l'étape d'application locale.

Voir la réponse type

Comme le tableau de bord de Purple indique des connexions réussies, l'étape d'authentification cloud s'est déroulée correctement. L'échec se situe au niveau de l'étape d'autorisation RADIUS - le contrôleur UniFi ne reçoit pas ou ne traite pas le message Access-Accept provenant des serveurs RADIUS de Purple. Vérifiez dans cet ordre : (1) le secret partagé RADIUS sur le contrôleur UniFi correspond exactement au secret du tableau de bord de Purple ; (2) l'UDP sortant sur les ports 1812 et 1813 est autorisé depuis le contrôleur vers les adresses IP du serveur RADIUS de Purple ; (3) les adresses IP du serveur RADIUS configurées sur le contrôleur UniFi sont à jour (Purple a pu les modifier). Une capture de paquets sur le contrôleur confirmera si le message Access-Accept arrive.

Q3. Un responsable informatique d'hôtel signale que les clients utilisant un VPN sur leurs appareils ne peuvent pas du tout accéder au Captive Portal. Les clients sans VPN se connectent normalement. L'hôtel utilise des équipements Cisco Meraki MX. L'équipe informatique doit-elle modifier la configuration du Captive Portal pour s'adapter aux utilisateurs de VPN ?

Conseil : Pensez à ce qu'un VPN fait au trafic réseau de l'appareil avant que le Captive Portal ne puisse l'intercepter.

Voir la réponse type

Non - la configuration du Captive Portal n'a pas besoin de changer. Un client VPN chiffre tout le trafic de l'appareil avant qu'il ne le quitte, y compris la requête de connectivité HTTP. La passerelle ne peut pas intercepter le trafic VPN chiffré, elle n'émet donc jamais la redirection 302. Le client doit désactiver son VPN, effectuer l'authentification sur le Captive Portal, puis réactiver le VPN. Il s'agit d'une contrainte architecturale fondamentale des Captive Portals et des VPN, et non d'une erreur de configuration. L'équipe informatique doit ajouter une note aux instructions WiFi pour les clients conseillant aux utilisateurs de VPN de désactiver leur VPN avant de se connecter.

Continuer la lecture de cette série

Dépannage du WiFi public : résoudre les erreurs « Connecté, pas d'Internet » et les échecs de redirection vers la page d'accueil

Ce guide de référence technique officiel explique les mécanismes sous-jacents de la détection de Captive Portal et détaille les six principaux modes de défaillance qui empêchent le WiFi invité de se connecter. Il fournit aux responsables informatiques et aux architectes réseau un cadre de dépannage pratique pour résoudre les problèmes de redirection HTTP, les conflits DNS et les défis liés à la randomisation des adresses MAC.

Top 10 des causes de timeouts DHCP sur les réseaux sans fil à haute densité

Ce guide de référence technique de premier plan identifie les dix principales causes de timeouts DHCP sur les réseaux sans fil à haute densité et propose des stratégies de remédiation exploitables et indépendantes des fournisseurs. Conçu pour les décideurs informatiques, les architectes réseau et les directeurs d'exploitation de sites, il détaille des principes d'ingénierie approfondis, des processus de déploiement étape par étape et des résultats commerciaux mesurables. Découvrez comment éliminer les goulots d'étranglement de connexion et optimiser votre infrastructure sans fil pour offrir une connectivité fluide dans les environnements d'entreprise les plus exigeants.

Utiliser la capture de paquets (PCAP) pour diagnostiquer les lenteurs de performance WiFi

Ce guide de référence technique fournit aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites une méthodologie structurée au niveau des paquets pour diagnostiquer et résoudre les lenteurs de performance des réseaux WiFi d'entreprise grâce à l'analyse de capture de paquets (PCAP). En décortiquant les trames 802.11 brutes — y compris les taux de retransmission, l'utilisation du temps d'antenne et les métadonnées de la couche physique — les équipes peuvent isoler avec précision les goulots d'étranglement de la couche RF des problèmes filaires ou applicatifs. Applicable aux sites à haute densité tels que les hôtels, les chaînes de magasins, les stades et les centres de conférence, ce guide propose des flux de diagnostic exploitables, des études de cas réels et des étapes de remédiation de configuration pour récupérer de la capacité réseau et préserver l'expérience client.