Passer au contenu principal
Français

Pourquoi mon WiFi invité ne se connecte-t-il pas ? Dépannage des problèmes de Captive Portal

Ce guide de référence technique faisant autorité explique les mécanismes sous-jacents de la détection de Captive Portal et détaille les six principaux modes de défaillance qui empêchent le WiFi invité de se connecter. Il fournit aux responsables informatiques et aux architectes réseau un cadre de dépannage pratique pour résoudre les problèmes de redirection HTTP, les conflits DNS et les défis liés à la randomisation des adresses MAC.

📖 6 min de lecture📝 1,384 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
TITLE: Why Is My Guest WiFi Not Connecting? Troubleshooting Captive Portal Issues FORMAT: Purple Technical Briefing Podcast VOICE: UK English - Senior Solutions Architect tone DURATION: Approximately 10 minutes --- SECTION 1: Introduction and Context - approximately 1 minute Hello, and welcome to this technical briefing from Purple. I am your host, and today we are tackling one of the most persistent, most misunderstood problems in enterprise wireless networking: the guest WiFi captive portal that simply refuses to load. You have been there. A guest arrives at your hotel, your retail store, your stadium, or your conference centre. They join the WiFi network. Nothing happens. No login page. No internet. Just a spinning icon and a growing sense of frustration. For venue operations directors and IT managers, that moment is not just a minor inconvenience. It represents a direct failure of your guest experience, a spike in front-of-house support calls, and a missed opportunity to capture the first-party data that justifies your wireless infrastructure investment. In this briefing, we are going to go under the hood. We will explain exactly how captive portal detection works at the operating system level, identify the six root causes responsible for the vast majority of connection failures, and give you a practical, actionable troubleshooting framework you can hand to your IT team today. Let us get into it. --- SECTION 2: Technical Deep-Dive - approximately 5 minutes To fix a captive portal problem, you first need to understand what a captive portal actually does at the network level. Most people think of it as simply a login page. It is actually a network-level traffic interception mechanism, and that distinction matters enormously when things go wrong. Here is the sequence. A guest's device joins your guest SSID and receives an IP address via DHCP. At that point, the operating system does not wait for the user to open a browser. In the background, a system service immediately fires off an unencrypted HTTP GET request to a vendor-controlled probe URL. Apple devices query captive.apple.com. Android devices query connectivitycheck.gstatic.com. Windows devices query msftconnecttest.com. Firefox has its own probe at detectportal.firefox.com. If the network has open internet access, these probes return their expected responses, and the operating system concludes everything is fine. But on a guest network, your wireless gateway or controller intercepts that HTTP probe before it reaches the internet. Instead of the expected response, the gateway returns an HTTP 302 redirect pointing to your captive portal splash page. The operating system detects the unexpected redirect, realises it is behind a captive portal, and opens a sandboxed browser window - often called the Captive Portal Assistant - to display the login page. That is the happy path. Now let us talk about the six ways it breaks. Root cause number one: DHCP pool exhaustion. This is the silent killer at high-density events. If you are running a conference with two thousand attendees on a standard slash-24 subnet, you have 254 usable IP addresses. If your DHCP lease time is set to the default 24 hours, you will exhaust that pool within minutes of doors opening. Every subsequent connection attempt fails before the captive portal sequence even begins. The fix is straightforward: set guest DHCP lease times to between 15 and 30 minutes for high-turnover environments, and size your subnets appropriately for peak concurrent users, not just total headcount. Root cause number two: DNS interception failure. The captive portal redirect depends on the gateway intercepting the HTTP probe. But the probe requires a DNS lookup first. If your DNS configuration does not permit pre-authenticated clients to resolve external domain names, the probe never fires. Ensure your firewall policy explicitly allows DNS queries from unauthenticated clients, and verify that your DNS interception is working by running a packet capture against a test device. Root cause number three: incomplete walled garden. The walled garden - also called the pre-authentication access control list - defines which external domains unauthenticated guests can reach. If your portal splash page loads assets from a CDN that is not in the walled garden, the page renders as a blank screen. If you offer social login via Google, Apple, or Facebook, every OAuth domain those providers use must be whitelisted. And here is the critical point: social identity providers update their CDN IP ranges and authentication domains regularly. A walled garden that worked perfectly six months ago may be silently broken today. Schedule quarterly walled garden audits and use wildcard domain snooping where your hardware supports it. On Cisco Meraki, HPE Aruba, Ruckus, and Juniper Mist, this is available natively. Root cause number four: HSTS blocking the redirect. HTTP Strict Transport Security, or HSTS, is a browser security policy that forces connections to specific domains over HTTPS only. If a guest's device attempts to contact an HSTS-preloaded domain - and that includes virtually every major website - and your gateway tries to intercept that HTTPS request to redirect to the portal, the browser detects a certificate mismatch. It presents a non-bypassable security warning and blocks the redirect entirely. The correct solution is never to attempt HTTPS interception. Your gateway should only redirect the unencrypted HTTP canary probes. The long-term standards-based fix is RFC 8910, which defines DHCP Option 114. This option allows your DHCP server to directly advertise the captive portal URL to the client device, bypassing the need for HTTP redirection entirely. iOS 14 and Android 11 and above support this natively. Root cause number five: active VPN on the guest device. A VPN encrypts all traffic from the device and routes it through an external tunnel before it reaches your gateway. Your gateway never sees the HTTP probe. The captive portal detection sequence never triggers. The guest sees no login page and no internet. The fix for the guest is simple: disable the VPN, connect to the portal, then re-enable the VPN. For your front-of-house staff, this should be the first question they ask when a guest reports a connection problem. Root cause number six: MAC address randomisation breaking session persistence. Modern iOS and Android devices use randomised MAC addresses by default as a privacy feature. Each time a device connects to a network, it may present a different MAC address. Since captive portal session state is tracked by MAC address, a guest who authenticated an hour ago may be presented with the login page again after their device's MAC rotates. The guest-facing fix is to disable Private Address for your specific SSID in the network settings. The operator-side fix is to implement profile-based authentication - such as OpenRoaming via Passpoint and 802.1X - which authenticates at Layer 2 using credentials rather than MAC addresses, making randomisation irrelevant. --- SECTION 3: Implementation Recommendations and Pitfalls - approximately 2 minutes Now that we understand the root causes, let us talk about what a well-configured captive portal deployment actually looks like. Start with your DHCP architecture. For any venue expecting more than 200 concurrent devices, move away from a single slash-24 subnet. Use slash-22 or larger, and set lease times to match your venue's dwell profile. A hotel sets leases to 8 hours. A stadium sets leases to 3 hours. A shopping centre sets leases to 90 minutes. A conference centre sets leases to 30 minutes. Next, validate your walled garden before every major event. The minimum required entries are: your portal's FQDN and all associated CDN domains, the captive portal detection URLs for Apple, Google, Windows, and Firefox, and the OAuth domains for every social login provider you support. On Purple's platform, we maintain and update these walled garden entries automatically as part of our cloud-managed service, which removes the manual maintenance burden from your team. For your portal certificate, use a publicly trusted TLS certificate from a recognised certificate authority. Self-signed certificates will trigger browser warnings on every device. Renew certificates before expiry - a lapsed certificate is one of the most common causes of sudden, venue-wide portal failures. One pitfall that catches many IT teams: testing the portal from a device that has previously authenticated. Your device's session is still active, so you bypass the portal entirely and conclude everything is working. Always test from a device in a fresh, unauthenticated state - either a new device, or one where you have forgotten the network and cleared the WiFi profile. Finally, consider the strategic direction of travel. Captive portals are a mature technology, but they carry inherent friction. OpenRoaming, built on Passpoint and 802.1X, allows returning guests to connect automatically and securely without ever seeing a login page. Purple acts as a free identity provider for OpenRoaming under our Connect plan. Venues like Premier Inn and Manchester Airports Group are already deploying this to eliminate re-authentication friction for repeat visitors while maintaining full GDPR compliance and first-party data capture. --- SECTION 4: Rapid-Fire Q and A - approximately 1 minute Let us run through the most common questions we hear from venue IT teams. Question: Why does the portal work on iPhones but not on Android devices? Answer: Android uses connectivitycheck.gstatic.com as its probe URL. If that domain is blocked by your firewall or not in your walled garden, Android devices never trigger the portal. Add it explicitly. Question: A guest says the portal loaded but they cannot get online after logging in. Answer: This is almost always a RADIUS authorisation failure. Check that your RADIUS server is reachable from the wireless controller, verify the shared secret matches on both sides, and review the RADIUS logs for Access-Reject messages. Question: How do we handle guests who keep getting logged out after a few minutes? Answer: Check your idle timeout setting. Many controllers default to a 5-minute idle timeout, which is far too aggressive for mobile devices that sleep between interactions. Set idle timeout to at least 30 minutes for hospitality and retail environments. --- SECTION 5: Summary and Next Steps - approximately 1 minute To summarise: guest WiFi captive portal failures fall into six categories - DHCP exhaustion, DNS interception failure, incomplete walled garden, HSTS redirect blocking, active VPN on the client device, and MAC address randomisation. Each has a specific, testable fix. For your IT team, the immediate actions are: audit your DHCP lease times and subnet sizing, validate your walled garden against the current OAuth domains of your social login providers, and test your portal from a fresh unauthenticated device after every configuration change. For your longer-term roadmap, evaluate OpenRoaming as the successor to captive portal re-authentication for returning visitors. The technology is mature, the standards are established under IEEE 802.1X and WPA3-Enterprise, and Purple makes it available at no additional software cost under the Connect plan. For more technical guides, case studies, and implementation resources, visit purple.ai. Thank you for listening to this Purple technical briefing. Keep your networks reliable and your guests connected.

header_image.png

Résumé exécutif

Pour les établissements d'entreprise modernes, les réseaux sans fil invités ne sont plus un simple service de confort ; ils représentent un point de contact essentiel pour l'engagement client, l'intelligence opérationnelle et le positionnement de la marque. Cependant, la valeur commerciale de ces réseaux dépend entièrement de la fiabilité de l'expérience de connexion initiale. Lorsqu'un invité se connecte à un réseau et que la page de connexion du Captive Portal ne s'affiche pas, l'établissement subit immédiatement une augmentation des frictions à l'accueil, une hausse des tickets d'assistance et une perte d'opportunités de capture de données.

Au cœur de ces échecs se trouve une tension fondamentale entre les normes web sécurisées et les techniques d'interception au niveau du réseau historiquement utilisées par les portails captifs. Les navigateurs web et les systèmes d'exploitation modernes sont conçus pour détecter et bloquer la redirection non autorisée du trafic afin de protéger les utilisateurs contre les attaques de type « homme du milieu » (man-in-the-middle). En comprenant les séquences précises de redirection HTTP et DNS, l'impact des protocoles sécurisés comme HSTS et les fonctionnalités de confidentialité des appareils mobiles modernes, les équipes informatiques peuvent concevoir des solutions d'accès sans fil robustes. Ce guide fournit le cadre définitif pour diagnostiquer et résoudre les causes profondes de l'état de défaillance "WiFi invité ne se connectant pas au Captive Portal".

Écoutez l'intégralité du briefing technique :

Analyse technique approfondie : comment fonctionne réellement la détection de Captive Portal

Pour dépanner un problème de Captive Portal, vous devez d'abord comprendre ce qu'un Captive Portal fait réellement au niveau du réseau. La plupart des gens le considèrent simplement comme une page de connexion. Il s'agit en réalité d'un mécanisme d'interception du trafic au niveau du réseau.

Lorsqu'un appareil rejoint votre SSID invité et reçoit une adresse IP via DHCP, le système d'exploitation n'attend pas que l'utilisateur ouvre un navigateur. En arrière-plan, un service système lance immédiatement une requête HTTP GET non chiffrée vers une URL de test contrôlée par le fournisseur. Les appareils Apple interrogent captive.apple.com. Les appareils Android interrogent connectivitycheck.gstatic.com. Les appareils Windows interrogent msftconnecttest.com.

Si le réseau dispose d'un accès Internet ouvert, ces requêtes de test renvoient les réponses attendues, et le système d'exploitation en conclut que tout va bien. But sur un réseau invité, votre passerelle ou contrôleur sans fil intercepte cette requête HTTP avant qu'elle n'atteigne Internet. Au lieu de la réponse attendue, la passerelle renvoie une redirection HTTP 302 pointant vers la page d'accueil de votre Captive Portal. Le système d'exploitation détecte la redirection inattendue, réalise qu'il se trouve derrière un Captive Portal et ouvre une fenêtre de navigateur sécurisée (sandbox) pour afficher la page de connexion.

captive_portal_flow_diagram.png

Les six principaux modes de défaillance

Lorsqu'un invité signale que le WiFi ne se connecte pas, la défaillance découle presque toujours de l'une des six causes profondes qui interrompent cette séquence.

1. Épuisement du pool DHCP C'est le tueur silencieux lors des événements à forte densité. Si vous organisez une conférence avec 2 000 participants sur un sous-réseau /24 standard, vous disposez de 254 adresses IP utilisables. Si la durée de bail de votre DHCP est définie sur les 24 heures par défaut, vous épuiserez ce pool dans les minutes qui suivent l'ouverture des portes. Chaque tentative de connexion ultérieure échouera avant même que la séquence du Captive Portal ne commence.

2. Échec de l'interception DNS La redirection du Captive Portal dépend de l'interception de la requête HTTP par la passerelle. Mais cette requête nécessite d'abord une résolution DNS. Si votre configuration DNS ne permet pas aux clients non authentifiés de résoudre des noms de domaine externes, la requête n'est jamais émise.

3. Walled Garden incomplet Le « walled garden » (espace de navigation autorisé) définit les domaines externes que les invités non authentifiés peuvent atteindre. Si la page d'accueil de votre portail charge des ressources à partir d'un CDN qui ne figure pas dans le walled garden, la page s'affiche sous forme d'écran blanc. Si vous proposez une connexion via les réseaux sociaux (Google, Apple ou Facebook), chaque domaine OAuth utilisé par ces fournisseurs doit être autorisé. Les fournisseurs d'identité sociale mettent régulièrement à jour leurs plages d'adresses IP CDN. Un walled garden qui fonctionnait parfaitement il y a six mois peut être défaillant aujourd'hui sans que vous le sachiez.

4. Blocage de la redirection par HSTS Le protocole HSTS (HTTP Strict Transport Security) est une politique de sécurité des navigateurs qui impose des connexions exclusives en HTTPS pour certains domaines spécifiques. Si un invité tente de contacter un domaine préchargé HSTS et que votre passerelle essaie d'intercepter cette requête HTTPS pour la rediriger vers le portail, le navigateur détecte une non-correspondance de certificat. Il présente alors un avertissement de sécurité impossible à ignorer et bloque entièrement la redirection. La bonne solution consiste à ne jamais tenter d'interception HTTPS. Votre passerelle doit uniquement rediriger les requêtes de test HTTP non chiffrées.

5. VPN actif sur l'appareil de l'invité Un VPN chiffre tout le trafic de l'appareil et l'achemine via un tunnel externe avant qu'il n'atteigne votre passerelle. Votre passerelle ne voit jamais la requête HTTP. La séquence de détection du Captive Portal ne se déclenche jamais.

6. Randomisation des adresses MAC Les appareils iOS et Android modernes utilisent par défaut des adresses MAC aléatoires par mesure de confidentialité. Étant donné que l'état de la session du Captive Portal est suivi par l'adresse MAC, un invité qui s'est authentifié il y a une heure peut se voir présenter à nouveau la page de connexion après la rotation de l'adresse MAC de son appareil.

Guide de mise en œuvre : concevoir pour la fiabilité

Un déploiement de Captive Portal bien configuré nécessite une coordination minutieuse sur l'ensemble de votre infrastructure WiFi invité .

Étape 1 : Optimiser l'architecture DHCP

Pour tout établissement qui attend plus de 200 appareils simultanés, abandonnez le sous-réseau unique /24. Utilisez un /22 ou plus grand, et définissez des durées de bail adaptées au profil de fréquentation de votre site. Un hôtel configure les baux sur 8 heures. Un stade les configure sur 3 heures. Un centre commercial les configure sur 90 minutes. Un centre de conférence les configure sur 30 minutes.

Étape 2 : Automatiser la gestion du Walled Garden

Validez votre walled garden avant chaque événement majeur. Sur la plateforme de Purple, nous maintenons et mettons à jour ces entrées de walled garden automatiquement dans le cadre de notre service géré dans le cloud, ce qui libère votre équipe de la charge de maintenance manuelle. Nous prenons en charge les intégrations avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Étape 3 : Implémenter la RFC 8910 (Option DHCP 114)

La solution à long terme basée sur les normes pour résoudre les conflits HSTS est la RFC 8910, qui définit l'option DHCP 114. Cette option permet à votre serveur DHCP de diffuser directement l'URL du Captive Portal vers l'appareil client, évitant ainsi complètement la redirection HTTP. iOS 14 et Android 11 (et versions supérieures) prennent cela en charge nativement.

Bonnes pratiques

Déployer l'authentification basée sur le profil pour les visiteurs récurrents Les Captive Portals sont une technologie mature, mais ils génèrent des frictions inhérentes. OpenRoaming, basé sur Passpoint et 802.1X, permet aux visiteurs récurrents de se connecter automatiquement et en toute sécurité sans jamais voir de page de connexion. Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming dans le cadre de notre forfait Connect. Des sites comme Premier Inn et Manchester Airports Group déploient déjà cette solution pour éliminer les frictions de réauthentification pour les visiteurs réguliers, tout en maintenant une conformité totale avec le GDPR et la collecte de données de première partie.

Ne testez jamais à partir d'un appareil authentifié Un piège classique pour de nombreuses équipes informatiques : tester le portail depuis un appareil déjà authentifié. La session de votre appareil étant toujours active, vous contournez complètement le portail et en concluez que tout fonctionne. Testez toujours à partir d'un appareil dans un état neuf et non authentifié.

Lire les guides associés Pour en savoir plus sur la sécurisation de vos réseaux, consultez notre Qu'est-ce qu'un WiFi sécurisé : Guide essentiel pour les entreprises 2026 et notre Gestion de la bande passante : Un guide pratique pour 2026 .

Dépannage et atténuation des risques

Lorsqu'un visiteur signale un problème de connexion, votre personnel d'accueil a besoin d'un cadre de diagnostic rapide.

troubleshooting_checklist.png

Demandez à votre personnel de passer d'abord en revue les correctifs côté client :

  1. Demandez au visiteur de désactiver tout VPN actif.
  2. Demandez au visiteur de désactiver la randomisation MAC (Adresse privée) pour votre SSID spécifique.
  3. Demandez au visiteur d'ouvrir un navigateur standard et de se rendre sur http://neverssl.com. Ce site étant conçu pour ne jamais utiliser SSL, la passerelle peut facilement intercepter la requête et déclencher la redirection.
  4. Si tout le reste échoue, demandez au visiteur d'oublier le réseau et de s'y reconnecter.

Si le problème persiste pour plusieurs visiteurs, passez aux vérifications côté opérateur. Examinez immédiatement l'utilisation du pool DHCP, vérifiez les journaux RADIUS pour détecter d'éventuels messages Access-Reject, et testez l'interception DNS.

ROI et impact commercial

L'impact commercial d'un Captive Portal fiable va bien au-delà des indicateurs informatiques. En éliminant les échecs de connexion, les sites augmentent directement le taux de croissance de leur base de données marketing.

Prenez l'exemple de Harrods, qui a obtenu un ROI marketing multiplié par 57 en optimisant ses Analyses WiFi et son flux de Captive Portal. Ou d'AGS Airports, qui a généré un ROI de 842 % grâce à une gestion fluide et hiérarchisée de la bande passante. Une expérience de connexion fiable est la condition fondamentale pour collecter les données modernes de retour d'expérience détaillées dans notre guide Collecte moderne de commentaires : Un guide pour les sites en 2026 .

Chaque échec de chargement de Captive Portal est un profil client perdu. En mettant en œuvre les normes architecturales décrites dans ce guide, les responsables informatiques transforment leur infrastructure sans fil d'un centre de coûts en un générateur de revenus fiable et conforme.

Définitions clés

Captive Portal

A network-level interception mechanism that forces an unauthenticated user to view and interact with a specific web page before being granted access to the public internet.

When IT teams deploy guest networks, the captive portal is the primary tool for enforcing terms of service and capturing first-party marketing data.

Walled Garden

A pre-authentication access control list (ACL) that defines which external IP addresses or domain names an unauthenticated device is permitted to access.

Crucial for allowing devices to load the captive portal splash page assets and communicate with social identity providers before the user has fully authenticated.

HSTS (HTTP Strict Transport Security)

A web security policy mechanism that helps to protect websites against man-in-the-middle attacks such as protocol downgrade attacks and cookie hijacking.

HSTS is the primary reason why intercepting HTTPS traffic to display a captive portal results in severe browser security warnings rather than a successful redirect.

RFC 8910 (DHCP Option 114)

An IETF standard that allows a DHCP server to directly advertise the URL of the captive portal to the client device during the initial IP address assignment.

This standard eliminates the need for HTTP redirection entirely, solving the HSTS conflict and providing a cleaner connection experience.

MAC Address Randomisation

A privacy feature in modern mobile operating systems that generates a new, random MAC address for each wireless network the device joins, or periodically rotates the address.

This feature breaks traditional captive portal session persistence, forcing returning guests to log in repeatedly unless the venue upgrades to profile-based authentication like OpenRoaming.

OpenRoaming

A global roaming federation built on Passpoint and 802.1X that allows users to connect to public WiFi networks automatically and securely without interacting with a captive portal.

Purple acts as a free identity provider for OpenRoaming under the Connect plan, allowing venues to eliminate re-authentication friction.

HTTP 302 Redirect

An HTTP response status code indicating that the requested resource resides temporarily under a different URI.

This is the specific mechanism the wireless gateway uses to redirect the device's HTTP canary probe to the captive portal splash page.

Canary Probe

An automated, unencrypted HTTP request sent by an operating system immediately after connecting to a network to test for internet connectivity.

Apple uses captive.apple.com; Android uses connectivitycheck.gstatic.com. Intercepting these probes is the foundation of captive portal detection.

Exemples concrets

A 2,500-capacity conference centre in London is hosting a major technology summit. Within 45 minutes of the keynote beginning, attendees report that the 'guest wifi not connecting captive portal' issue is widespread. The SSID is visible, but devices either fail to obtain an IP address or receive an IP but see no login screen. The network is configured with a single /23 subnet and 12-hour DHCP leases.

  1. Identify DHCP Exhaustion: A /23 subnet provides 1,022 usable IP addresses. With 2,500 attendees, the pool is undersized. The 12-hour lease means addresses are not returned to the pool when attendees leave the building for lunch.
  2. Expand the Subnet: Reconfigure the guest VLAN to use a /21 subnet, providing 4,094 usable IP addresses, comfortably exceeding the venue capacity.
  3. Reduce Lease Time: Change the DHCP lease time from 12 hours to 30 minutes. This ensures that IP addresses from devices that disconnect (e.g., when an attendee leaves) are quickly reclaimed.
  4. Clear Leases: Clear the existing DHCP bindings to force active devices to renew under the new parameters.
Commentaire de l'examinateur : This scenario demonstrates the classic failure mode of undersized subnets and overly long lease times in high-density environments. The solution addresses both the immediate capacity constraint and the ongoing lifecycle management of the IP addresses. By reducing the lease time to 30 minutes, the network operator ensures efficient utilisation of the address space without requiring manual intervention.

A retail chain rolls out a new captive portal featuring social login via Google and Facebook. During testing, the IT team finds that the portal splash page loads correctly, but when a user taps 'Log in with Google', the page times out and fails to connect. Standard email registration works perfectly.

  1. Diagnose Walled Garden Failure: The timeout indicates that the unauthenticated client device cannot reach the Google OAuth servers to complete the authentication handshake.
  2. Audit Walled Garden Entries: Review the pre-authentication access control list on the wireless controller (e.g., Cisco Meraki or HPE Aruba).
  3. Add Required Domains: Add the specific Google and Facebook authentication domains (e.g., accounts.google.com) to the walled garden. Crucially, add wildcard entries for the CDNs that serve the login page assets (e.g., *.gstatic.com).
  4. Implement Automated Updates: Because these providers change their IP ranges frequently, configure the controller to use wildcard domain snooping rather than static IP whitelisting.
Commentaire de l'examinateur : The failure of social login while standard email login succeeds is the definitive symptom of an incomplete walled garden. The expert approach here is not just fixing the immediate missing domain, but implementing wildcard domain snooping to prevent the issue from recurring when the identity provider updates their infrastructure.

Questions d'entraînement

Q1. A retail venue reports that their captive portal works perfectly for guests using standard email registration, but guests attempting to use the 'Log in with Facebook' option experience a blank white screen after tapping the button. What is the most likely architectural cause?

Conseil : Consider what network resources the unauthenticated device needs to reach to render the Facebook login prompt.

Voir la réponse type

The venue has an incomplete walled garden. The wireless gateway is blocking the unauthenticated device from reaching Facebook's OAuth domains or CDN infrastructure. The IT team must update the pre-authentication access control list to include all required wildcard domains for Facebook authentication.

Q2. You are designing the guest WiFi architecture for a major football stadium. The venue holds 60,000 fans, and matches last approximately 3 hours. The current configuration uses a /16 subnet and 24-hour DHCP lease times. During the first match, thousands of fans report they cannot connect. What changes should you implement?

Conseil : Calculate the total available IP addresses in the subnet versus the venue capacity, and evaluate the lifecycle of those addresses.

Voir la réponse type

The network is experiencing DHCP pool exhaustion. A /16 subnet provides 65,534 usable IP addresses, which is theoretically enough for 60,000 fans. However, with a 24-hour lease time, any device that connects briefly (e.g., staff, vendors, or fans walking past) consumes an IP address that will not be released until the next day. The solution is to reduce the DHCP lease time to 3 hours to match the venue's dwell profile, ensuring IP addresses are recycled efficiently during the event.

Q3. A hotel guest complains that the captive portal login page does not appear automatically on their laptop. When the front desk staff checks the guest's device, they notice a corporate VPN client is running. Why does the VPN prevent the portal from loading?

Conseil : Consider how a VPN routes traffic and how the gateway intercepts the captive portal probe.

Voir la réponse type

The VPN encrypts all traffic from the laptop and attempts to route it through a secure tunnel to the corporate server. Because the traffic is encrypted, the local wireless gateway cannot inspect it, cannot identify the unencrypted HTTP canary probe, and therefore cannot issue the HTTP 302 redirect required to trigger the captive portal. The guest must disable the VPN, authenticate via the portal, and then re-enable the VPN.

Continuer la lecture de cette série

Le guide de l'entreprise pour SCEP : Déployer Simple Certificate Enrollment Protocol pour une sécurité WiFi automatisée des campus

Ce guide de référence technique fournit un modèle d'architecture définitif et une stratégie de mise en œuvre étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il couvre les différences critiques entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, et des stratégies concrètes de réduction des risques pour les responsables informatiques.

Lire le guide →

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et de l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et aux architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et répondre aux exigences PCI DSS et GDPR à grande échelle.

Lire le guide →

GDPR et Guest WiFi : Guide de conformité pour les marketeurs de lieux et l'IT

Ce guide fournit aux responsables IT et aux exploitants de sites un cadre pratique pour garantir que les services Guest WiFi sont pleinement conformes au GDPR. Il couvre l'architecture technique, les mécanismes de consentement, la conservation des données et la manière de transformer la conformité en un actif de données de première partie sécurisé.

Lire le guide →