Passer au contenu principal

Dépannage du WiFi public : résoudre l'erreur « Connecté, pas d'internet » et les échecs de redirection vers la page de connexion

Ce guide de référence technique explique les mécanismes sous-jacents de la détection de Captive Portal et détaille les six principaux modes de défaillance qui empêchent le WiFi invité de se connecter. Il fournit aux responsables informatiques et aux architectes réseau un cadre de dépannage pratique pour résoudre les problèmes de redirection HTTP, les conflits DNS et les défis liés à la randomisation des adresses MAC.

📖 6 min de lecture📝 1,303 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Bienvenue dans ce point technique de Purple. Aujourd'hui, nous nous attaquons à l'un des problèmes les plus persistants et les plus mal compris des réseaux sans fil d'entreprise : le Captive Portal du WiFi invité qui refuse tout simplement de se charger. Vous avez déjà connu cette situation. Un client arrive dans votre hôtel, votre point de vente, votre stade ou votre centre de conférences. Il se connecte au réseau WiFi. Rien ne se passe. Pas de page de connexion. Pas d'internet. Juste une icône qui tourne et une frustration qui grandit. Pour les directeurs d'exploitation et les responsables informatiques, ce moment n'est pas qu'un simple inconvénient. Il représente un échec direct de votre expérience client, une augmentation des appels au support et une opportunité manquée de collecter les données de première partie qui justifient votre investissement dans l'infrastructure sans fil. Dans ce point technique, nous allons examiner les aspects techniques. Nous expliquerons exactement comment la détection de Captive Portal fonctionne au niveau du système d'exploitation, nous identifierons les six causes principales responsables de la grande majorité des échecs de connexion, et nous vous fournirons un cadre de dépannage pratique et concret que vous pourrez transmettre à votre équipe informatique dès aujourd'hui. Commençons par le fonctionnement mécanique. La plupart des gens considèrent un Captive Portal simplement comme une page de connexion. Il s'agit en réalité d'un mécanisme d'interception du trafic au niveau du réseau, et cette distinction est extrêmement importante lorsque les choses tournent mal. Voici la séquence de connexion. L'appareil d'un invité rejoint votre SSID invité et reçoit une adresse IP via DHCP. À ce stade, le système d'exploitation n'attend pas que l'utilisateur ouvre un navigateur. En arrière-plan, un service système lance immédiatement une requête HTTP GET non chiffrée vers une URL de test contrôlée par le fabricant. Les appareils Apple interrogent captive.apple.com. Les appareils Android interrogent connectivitycheck.gstatic.com. Les appareils Windows interrogent msftconnecttest.com. Firefox possède sa propre URL de test sur detectportal.firefox.com. Si le réseau dispose d'un accès internet ouvert, ces requêtes renvoient les réponses attendues et le système d'exploitation en conclut que tout fonctionne correctement. Mais sur un réseau invité, votre passerelle ou contrôleur sans fil intercepte cette requête HTTP avant qu'elle n'atteigne internet. Au lieu de la réponse attendue, la passerelle renvoie une redirection HTTP 307 pointant vers votre page d'accueil de Captive Portal. Le système d'exploitation détecte la redirection inattendue, réalise qu'il se trouve derrière un Captive Portal et ouvre une fenêtre de navigateur sécurisée - souvent appelée Captive Network Assistant - pour afficher la page de connexion. Voilà pour le scénario idéal. Voyons maintenant les six raisons pour lesquelles ce processus échoue. Cause première numéro un : l'épuisement du pool DHCP. C'est le tueur silencieux lors des événements à haute densité. Si vous organisez une conférence de deux mille participants sur un sous-réseau standard slash-24, vous disposez de 254 adresses IP utilisables. Si la durée de bail DHCP est configurée sur la valeur par défaut de 24 heures, vous épuiserez ce pool dans les minutes qui suivent l'ouverture des portes. Chaque tentative de connexion ultérieure échouera avant même que la séquence du Captive Portal ne commence. La solution est simple : configurez les durées de bail DHCP des invités entre 15 et 30 minutes pour les environnements à forte rotation, et dimensionnez vos sous-réseaux de manière appropriée pour les utilisateurs simultanés en période de pointe, et non pas seulement pour l'effectif total. Cause première numéro deux : l'échec de l'interception DNS. La redirection du Captive Portal dépend de l'interception de la sonde HTTP par la passerelle. Mais cette sonde nécessite d'abord une résolution DNS. Si votre configuration DNS ne permet pas aux clients pré-authentifiés de résoudre des noms de domaine externes, la sonde ne se déclenche jamais. Assurez-vous que votre politique de pare-feu autorise explicitement les requêtes DNS provenant de clients non authentifiés, et vérifiez que votre interception DNS fonctionne en effectuant une capture de paquets sur un appareil de test. Cause première numéro trois : un walled garden incomplet. Le walled garden - également appelé liste de contrôle d'accès pré-authentification - définit les domaines externes que les invités non authentifiés peuvent atteindre. Si la page d'accueil de votre portail charge des ressources à partir d'un CDN qui ne figure pas dans le walled garden, la page s'affiche sous la forme d'un écran vide. Si vous proposez une connexion via les réseaux sociaux avec Google, Apple ou Facebook, chaque domaine OAuth utilisé par ces fournisseurs doit être mis sur liste blanche. Et voici le point critique : les fournisseurs d'identité sociale mettent régulièrement à jour leurs plages d'adresses IP de CDN et leurs domaines d'authentification. Un walled garden qui fonctionnait parfaitement il y a six mois peut être discrètement hors service aujourd'hui. Planifiez des audits trimestriels de votre walled garden et utilisez la surveillance de domaine par caractères génériques (wildcard) si votre matériel le permet. Cette fonctionnalité est disponible nativement sur Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Cause première numéro quatre : le blocage de la redirection par HSTS. HTTP Strict Transport Security, ou HSTS, est une politique de sécurité de navigateur qui impose des connexions uniquement via HTTPS pour certains domaines spécifiques. Si l'appareil d'un invité tente de contacter un domaine préchargé HSTS - ce qui inclut pratiquement tous les grands sites web - et que votre passerelle tente d'intercepter cette requête HTTPS pour la rediriger vers le portail, le navigateur détecte une non-correspondance de certificat. Il affiche alors un avertissement de sécurité impossible à contourner et bloque complètement la redirection. La solution correcte consiste à ne jamais tenter d'interception HTTPS. Votre passerelle doit uniquement rediriger les sondes de test HTTP non chiffrées. La solution à long terme basée sur les normes est la RFC 8910, qui définit l'option DHCP 114. Cette option permet à votre serveur DHCP de communiquer directement l'URL du Captive Portal à l'appareil client, évitant ainsi totalement le besoin de redirection HTTP. iOS 14, Android 11 et leurs versions supérieures prennent cela en charge nativement. Cinquième cause profonde : un VPN actif sur l'appareil de l'invité. Un VPN chiffre tout le trafic de l'appareil et l'achemine via un tunnel externe avant qu'il n'atteigne votre passerelle. Votre passerelle ne voit jamais la requête HTTP. La séquence de détection du Captive Portal ne se déclenche jamais. L'invité ne voit ni page de connexion ni internet. La solution pour l'invité est simple : désactiver le VPN, se connecter au portail, puis réactiver le VPN. Pour votre personnel d'accueil, cela devrait être la première question à poser lorsqu'un invité signale un problème de connexion. Sixième cause profonde : la randomisation des adresses MAC qui brise la persistance de la session. Les appareils modernes iOS et Android utilisent par défaut des adresses MAC aléatoires par mesure de confidentialité. Chaque fois qu'un appareil se connecte à un réseau, il peut présenter une adresse MAC différente. Étant donné que l'état de la session du Captive Portal est suivi par l'adresse MAC, un invité qui s'est authentifié il y a une heure peut se retrouver à nouveau face à la page de connexion après la rotation de la MAC de son appareil. La solution côté invité consiste à désactiver l'adresse privée pour votre SSID spécifique dans les paramètres réseau. La solution côté opérateur consiste à implémenter une authentification basée sur les profils - comme OpenRoaming via Passpoint et 802.1X - qui authentifie au niveau de la couche 2 à l'aide d'identifiants plutôt que d'adresses MAC, rendant la randomisation obsolète. Parlons maintenant de l'implémentation. À quoi ressemble concrètement un déploiement de Captive Portal bien configuré dans la pratique ? Commencez par votre architecture DHCP. Pour tout site accueillant plus de 200 appareils simultanés, abandonnez le sous-réseau unique en slash-24. Utilisez un slash-22 ou plus grand, et définissez des durées de bail adaptées au profil de présence de votre site. Un hôtel définit les baux à 8 heures. Un stade définit les baux à 3 heures. Un centre commercial définit les baux à 90 minutes. Un centre de conférences définit les baux à 30 minutes. Ensuite, validez votre walled garden avant chaque événement majeur. Les entrées minimales requises sont : le nom de domaine complet de votre portail et tous les domaines CDN associés, les URL de détection de Captive Portal pour Apple, Google, Windows et Firefox, et les domaines OAuth pour chaque fournisseur de connexion sociale que vous prenez en charge. Sur la plateforme de Purple, nous gérons et mettons à jour ces entrées de walled garden automatiquement dans le cadre de notre service géré dans le cloud, ce qui élimine la charge de maintenance manuelle pour vos équipes. Pour le certificat de votre portail, utilisez un certificat TLS public de confiance émis par une autorité de certification reconnue. Les certificats auto-signés déclencheront des alertes de sécurité sur le navigateur de chaque appareil. Renouvelez les certificats avant leur expiration - un certificat expiré est l'une des causes les plus courantes de pannes soudaines de portails à l'échelle d'un site. Un piège classique dans lequel tombent de nombreuses équipes informatiques : tester le portail depuis un appareil qui s'est déjà authentifié auparavant. La session de votre appareil étant toujours active, vous contournez complètement le portail et en concluez que tout fonctionne. Testez toujours depuis un appareil dans un état vierge et non authentifié - soit un nouvel appareil, soit un appareil sur lequel vous avez oublié le réseau et effacé le profil WiFi.Laissez-moi vous donner deux scénarios réels qui illustrent ces principes. Premier scénario : un hôtel de 350 chambres dans le centre de Londres. L'établissement gérait un unique sous-réseau slash-24 pour le WiFi invité. Lors d'une grande conférence, 400 délégués sont arrivés simultanément. En l'espace de 20 minutes, le pool DHCP était épuisé. Les clients ont signalé qu'ils étaient connectés mais incapables d'accéder au Captive Portal ou à Internet. La solution immédiate a consisté à étendre le sous-réseau à un slash-22, offrant 1 022 adresses utilisables, et à réduire la durée du bail de 24 heures à 8 heures. La solution à plus long terme a été de déployer le Captive Portal géré dans le cloud de Purple, qui surveille l'utilisation du pool DHCP en temps réel et alerte l'équipe réseau avant qu'une pénurie ne survienne. Le taux d'échec du portail est tombé à près de zéro dans les 48 heures suivant ce changement. Deuxième scénario : une grande chaîne de magasins de vente au détail comptant 200 boutiques. La chaîne utilisait la connexion via les réseaux sociaux avec Google et Facebook sur son portail invité. Après une mise à jour par Google de son infrastructure OAuth, les nouveaux domaines d'authentification ne figuraient plus dans le walled garden. Les clients pouvaient accéder à la page du portail, mais les boutons de connexion sociale affichaient des écrans vides. L'équipe informatique de la chaîne a passé deux jours à diagnostiquer le problème avant d'identifier l'absence de ces domaines dans le walled garden. La correction a pris 10 minutes une fois identifiée. La leçon à retenir : ne saisissez jamais d'adresses IP en dur dans votre walled garden pour les fournisseurs OAuth basés sur le cloud. Utilisez des entrées de domaine génériques avec wildcard et révisez-les chaque trimestre. Passons maintenant à quelques questions rapides que nous posent régulièrement les équipes informatiques des établissements. Pourquoi le portail fonctionne-t-il sur les iPhones mais pas sur les appareils Android ? Android utilise connectivitycheck.gstatic.com comme URL de test. Si ce domaine est bloqué par votre pare-feu ou s'il n'est pas dans votre walled garden, les appareils Android ne déclencheront jamais le portail. Ajoutez-le explicitement. Un client indique que le portail s'est chargé mais qu'il ne peut pas se connecter après s'être identifié. Il s'agit presque toujours d'un échec d'autorisation RADIUS. Vérifiez que votre serveur RADIUS est accessible depuis le contrôleur sans fil, vérifiez que le secret partagé correspond des deux côtés, et examinez les journaux RADIUS pour y rechercher des messages Access-Reject. Comment gérer les clients qui sont déconnectés après seulement quelques minutes ? Vérifiez votre paramètre de délai d'expiration d'inactivité (idle timeout). De nombreux contrôleurs sont configurés par défaut sur un délai d'inactivité de 5 minutes, ce qui est beaucoup trop agressif pour les appareils mobiles qui se mettent en veille entre deux interactions. Définissez le délai d'expiration d'inactivité sur au moins 30 minutes pour les environnements de l'hôtellerie et du commerce de détail. Pour résumer les points clés de notre point d'information du jour. Les échecs de Captive Portal pour le WiFi invité se classent en six catégories : l'épuisement du pool DHCP, l'échec de l'interception DNS, un walled garden incomplet, le blocage des redirections HSTS, un VPN actif sur l'appareil client, et la randomisation des adresses MAC. Chacun de ces problèmes dispose d'une solution spécifique et vérifiable. Pour votre équipe informatique, les actions immédiates sont les suivantes : auditez les durées de bail DHCP et le dimensionnement de vos sous-réseaux, validez votre walled garden par rapport aux domaines OAuth actuels de vos fournisseurs de connexion sociale, et testez votre portail depuis un nouvel appareil non authentifié après chaque modification de configuration. Pour votre feuille de route à plus long terme, évaluez OpenRoaming en tant que successeur de la réauthentification par Captive Portal pour les visiteurs récurrents. La technologie est mûre, les normes sont établies sous IEEE 802.1X et WPA3-Enterprise, et Purple la met à disposition sans coût logiciel supplémentaire dans le cadre du forfait Connect. Purple opère dans plus de 80 000 sites et a traité 440 millions de connexions rien qu'en 2024. Nous avons été témoins de tous les modes de défaillance décrits dans ce document - et nous avons développé les outils pour les éviter. Si vous souhaitez découvrir comment la solution cloud de Purple s'intègre à votre infrastructure existante Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, visitez purple.ai ou contactez votre responsable de compte. Merci pour votre écoute.

Synthèse

header_image.png

Un visiteur se connecte à votre WiFi, mais la page de connexion ne parvient pas à se charger. Il voit s'afficher un avertissement « Connecté, pas d'internet » et abandonne. Pour les directeurs d'exploitation de sites et les responsables informatiques, cet échec représente une dégradation directe de l'expérience client, une augmentation des tickets de support et une occasion manquée de collecter des données de premier niveau, qui justifient pourtant l'investissement dans l'infrastructure sans fil.

Ce guide explique précisément comment fonctionne la détection de Captive Portal au niveau du système d'exploitation et identifie les six causes profondes responsables de la majorité des échecs de connexion. Il fournit un cadre de dépannage pratique et indépendant des constructeurs pour résoudre la saturation DHCP, les échecs d'interception DNS, les walled gardens incomplets, les redirections HSTS bloquées, les conflits VPN actifs et les problèmes de randomisation d'adresses MAC.

Analyse technique approfondie : Comment fonctionne réellement la détection de Captive Portal

Pour dépanner un portail captif, vous devez d'abord comprendre ce qu'est réellement un Captive Portal au niveau du réseau. Il ne s'agit pas simplement d'une page de connexion - c'est un mécanisme d'interception du trafic au niveau du réseau.

Lorsqu'un appareil invité rejoint un SSID invité, il reçoit une adresse IP via DHCP. Le système d'exploitation n'attend pas que l'utilisateur ouvre un navigateur. Au lieu de cela, un service système d'arrière-plan envoie immédiatement une requête HTTP GET non chiffrée à une URL de test contrôlée par le constructeur. Les appareils Apple interrogent captive.apple.com. Les appareils Android interrogent connectivitycheck.gstatic.com. Les appareils Windows interrogent msftconnecttest.com. Firefox interroge detectportal.firefox.com.

Si le réseau dispose d'un accès internet ouvert, ces requêtes renvoient leur réponse HTTP 200 OK attendue et le système d'exploitation décide que la connexion est active. Cependant, sur un réseau invité, la passerelle sans fil ou le contrôleur intercepte cette requête HTTP avant qu'elle ne puisse atteindre internet. Au lieu de la réponse attendue, la passerelle renvoie une redirection temporaire HTTP 307 pointant vers la page d'accueil du Captive Portal. Le système d'exploitation détecte cette redirection inattendue, comprend qu'il se trouve derrière un Captive Portal et ouvre une fenêtre de navigation isolée (Captive Network Assistant) pour afficher la page de connexion.

portal_architecture_diagram.png

Dépannage et atténuation des risques : Les 6 causes profondes d'échec

Lorsqu'un Captive Portal ne parvient pas à se charger, le problème est presque toujours causé par l'un des six modes de défaillance spécifiques suivants.

root_causes_infographic.png

1. Épuisement du pool DHCP

C'est un problème invisible mais fatal lors d'événements à forte densité. Si vous organisez une conférence avec 2 000 participants et utilisez un sous-réseau /24 standard, vous ne disposez que de 254 adresses IP utilisables. Si la durée du bail DHCP est définie par défaut sur 24 heures, votre pool sera épuisé quelques minutes seulement après l'ouverture des portes. Chaque tentative de connexion ultérieure échouera avant même le début de la séquence du Captive Portal.

Solution : Définissez les durées de bail DHCP des invités entre 15 et 30 minutes pour les environnements à forte rotation. Dimensionnez vos sous-réseaux en fonction des pics d'utilisateurs simultanés, et non de la fréquentation moyenne. Un sous-réseau /22 fournit 1 022 adresses utilisables, ce qui est la taille minimale recommandée pour les espaces professionnels.

2. Échec de l'interception DNS

La redirection vers le Captive Portal repose sur l'interception d'une requête HTTP par la passerelle. Cependant, cette requête nécessite d'abord une résolution DNS. Si votre configuration DNS n'autorise pas les clients non authentifiés à résoudre les noms de domaine externes, la requête ne sera jamais déclenchée.

Solution : Assurez-vous que vos règles de pare-feu autorisent explicitement les requêtes DNS (port 53) provenant de clients non authentifiés. Effectuez une capture de paquets sur un appareil de test pour vérifier que votre interception DNS fonctionne correctement.

3. Walled Garden incomplet

Le walled garden (liste de contrôle d'accès pré-authentification) définit les domaines externes auxquels les invités non authentifiés peuvent accéder. Si les ressources de la splash page de votre portail sont chargées depuis un CDN qui n'est pas inclus dans le walled garden, la page s'affichera sous la forme d'un écran blanc. Si vous proposez des connexions via les réseaux sociaux avec Google, Apple ou Microsoft Entra ID, chaque domaine OAuth utilisé par ces fournisseurs doit être inscrit sur liste blanche. Les fournisseurs d'identité sociale mettent régulièrement à jour leurs plages d'adresses IP de CDN et leurs domaines d'authentification ; un walled garden qui fonctionnait parfaitement il y a six mois peut cesser de fonctionner du jour au lendemain.

Solution : Planifiez des audits trimestriels du walled garden. Lorsque votre matériel le permet, utilisez le filtrage de domaine par caractères génériques, disponible nativement sur Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Purple gère et met à jour automatiquement ces entrées de walled garden dans le cadre de notre service géré dans le cloud.

4. Blocage de redirection HSTS

Le protocole HTTP Strict Transport Security (HSTS) est une politique de sécurité du navigateur qui impose des connexions aux domaines spécifiques uniquement via HTTPS. Si un appareil invité tente de communiquer avec un domaine pré-chargé en HSTS, et que votre passerelle essaie d'intercepter cette requête HTTPS pour la rediriger vers le portail, le navigateur détecte une non-correspondance de certificat. Cela affiche un avertissement de sécurité incontournable et bloque complètement la redirection. Solution : Ne tentez jamais d'interception HTTPS pour la redirection initiale. Assurez-vous que votre passerelle ne redirige que les requêtes de test HTTP non chiffrées. La solution à long terme basée sur les normes est la RFC 8910, qui définit l'option DHCP 114. Cette option permet à votre serveur DHCP de communiquer directement l'URL du Captive Portal à l'appareil client, éliminant ainsi le besoin de redirection HTTP. iOS 14 et Android 11 et versions ultérieures le prennent en charge nativement.

5. VPN actif sur l'appareil client

Un VPN chiffre l'ensemble du trafic de l'appareil et le achemine via un tunnel externe avant qu'il n'atteigne votre passerelle. Votre passerelle ne voit jamais la requête HTTP, de sorte que la séquence de détection du Captive Portal n'est jamais déclenchée. Les visiteurs ne voient ni la page de connexion ni Internet.

Solution : Le visiteur doit désactiver le VPN, se connecter au portail, puis réactiver le VPN. Pour le personnel d'accueil, demander si le visiteur utilise un VPN doit être la première étape de dépannage.

6. Persistance de la session interrompue par la randomisation de l'adresse MAC

Les appareils iOS et Android modernes utilisent par défaut des adresses MAC aléatoires par mesure de confidentialité. Chaque fois qu'un appareil se connecte à un réseau, il peut présenter une adresse MAC différente. Étant donné que l'état de la session du Captive Portal est suivi par l'adresse MAC, un visiteur authentifié il y a une heure peut se voir présenter à nouveau la page de connexion après le changement de l'adresse MAC de son appareil.

Solution : La solution pour les visiteurs consiste à désactiver l'adresse privée pour votre SSID spécifique dans leurs paramètres réseau. La solution côté opérateur consiste à implémenter une authentification basée sur les profils, telle que Passpoint et OpenRoaming via 802.1X, qui authentifie au niveau de la couche 2 à l'aide d'identifiants plutôt que d'adresses MAC, rendant la randomisation non pertinente.

Guide d'implémentation : Construire une architecture résiliente

Le déploiement d'un Captive Portal bien configuré nécessite des choix d'architecture actifs.

  1. Vérifiez votre walled garden avant chaque événement majeur. Les entrées minimales requises sont : le FQDN de votre portail et tous les domaines CDN associés, les URL de détection de Captive Portal pour Apple, Google, Windows et Firefox, ainsi que les domaines OAuth pour chaque fournisseur de connexion sociale que vous prenez en charge.
  2. Utilisez un certificat TLS de confiance publique. Les certificats auto-signés déclencheront des avertissements de navigateur sur tous les appareils. Renouvelez les certificats avant leur expiration ; un certificat expiré est l'une des causes les plus courantes de pannes soudaines de portail à l'échelle d'un site.
  3. Testez à partir d'un état neuf et non authentifié. Tester le portail à partir d'un appareil préalablement authentifié contournera complètement le portail car la session est toujours active. Testez toujours depuis un nouvel appareil, ou depuis un appareil sur lequel vous avez oublié le réseau et supprimé le profil WiFi.
  4. Ajustez les délais d'inactivité. De nombreux contrôleurs sont configurés par défaut sur un délai d'inactivité de 5 minutes, ce qui est très agressif pour les appareils mobiles qui passent en mode veille entre deux interactions. Définissez le délai d'inactivité sur au moins 30 minutes pour les environnements de l'hôtellerie et de la vente au détail.

ROI et impact commercial

Les Captive Portals sont une technologie éprouvée, mais ils présentent des complexités inhérentes. L'objectif stratégique est d'évoluer vers une authentification fluide et sécurisée.

OpenRoaming, basé sur Passpoint et 802.1X, aide les visiteurs réguliers à se connecter automatiquement et de manière sécurisée sans jamais voir de page de connexion. Dans le cadre de notre offre Connect, Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming. Des sites comme Premier Inn et Manchester Airports Group l'utilisent déjà pour éliminer les tracas de la ré-authentification pour les visiteurs récurrents, tout en maintenant une totale conformité GDPR et la collecte de données de première partie. En réduisant les échecs de connexion, vous pouvez directement augmenter le volume de données de première partie collectées, renforçant ainsi la fidélité des clients et l'engagement personnalisé.

Podcast de présentation technique

Écoutez une analyse détaillée de ces étapes de dépannage par notre Senior Solutions Architect dans notre présentation technique de 10 minutes.

Définitions clés

Captive Portal

Un mécanisme d'interception du trafic au niveau du réseau qui limite l'accès à internet jusqu'à ce que l'utilisateur effectue une action requise, comme accepter les conditions d'utilisation ou saisir des identifiants sur une page de connexion.

La méthode principale permettant aux établissements d'entreprise de sécuriser l'accès des invités et de collecter des données de première main.

Walled Garden

Une liste de contrôle d'accès pré-authentification qui définit les adresses IP ou domaines externes qu'un appareil invité non authentifié est autorisé à atteindre.

Essentiel pour autoriser l'accès aux ressources du portail, aux CDN et aux fournisseurs d'identité OAuth avant que l'utilisateur ne soit entièrement authentifié.

Captive Network Assistant (CNA)

Une fenêtre de navigation isolée et aux fonctionnalités limitées, ouverte automatiquement par le système d'exploitation lorsqu'il détecte une redirection de Captive Portal.

Il s'agit de l'interface sur laquelle l'invité voit et interagit réellement avec votre page de connexion.

HSTS (HTTP Strict Transport Security)

Un mécanisme de politique de sécurité web qui aide à protéger les sites internet contre les attaques de l'homme du milieu en obligeant les navigateurs à interagir avec eux uniquement via des connexions sécurisées HTTPS.

Le mécanisme HSTS empêche les passerelles d'utiliser l'interception HTTPS pour rediriger les utilisateurs vers un Captive Portal, provoquant des échecs de connexion s'il est mal configuré.

Saturation du pool DHCP

Un état dans lequel un serveur DHCP a attribué toutes les adresses IP disponibles dans son sous-réseau configuré, empêchant de nouveaux appareils de rejoindre le réseau.

Une cause fréquente des erreurs « Connecté, pas d'internet » dans les environnements à haute densité comme les stades ou les conférences.

Randomisation de l'adresse MAC

Une fonctionnalité de confidentialité présente dans les systèmes d'exploitation mobiles modernes qui génère une adresse MAC aléatoire pour chaque réseau WiFi, empêchant le suivi à travers différents emplacements.

Cette fonctionnalité interrompt la persistance de la session sur les Captive Portals, obligeant les invités à se réauthentifier si leur adresse MAC change.

OpenRoaming

Une fédération de réseaux WiFi qui permet aux utilisateurs de se connecter automatiquement et de manière sécurisée aux réseaux participants sans saisir d'identifiants ni interagir avec un Captive Portal.

Le successeur stratégique des Captive Portals pour les visiteurs récurrents, pris en charge par Purple en tant que fournisseur d'identité gratuit.

RFC 8910 (Option DHCP 114)

Un standard qui permet à un serveur DHCP de fournir directement l'URL du Captive Portal à l'appareil client lors de l'attribution de l'adresse IP.

Cela contourne entièrement le besoin de redirection HTTP, résolvant les problèmes causés par HSTS et améliorant la vitesse de détection du portail.

Exemples concrets

Un hôtel de 350 chambres du centre de Londres utilise un unique sous-réseau /24 pour son WiFi invité. Lors d'une grande conférence, 400 délégués arrivent simultanément. En l'espace de 20 minutes, les clients signalent qu'ils sont connectés mais qu'ils ne parviennent pas à accéder au portail ou à l'internet.

La solution immédiate consiste à étendre le sous-réseau à /22, ce qui offre 1 022 adresses utilisables, et à réduire la durée du bail DHCP de 24 heures à 8 heures. À plus long terme, la solution consiste à implémenter le Captive Portal géré dans le cloud de Purple, qui surveille l'utilisation du pool DHCP en temps réel et alerte l'équipe réseau avant qu'une saturation ne survienne.

Commentaire de l'examinateur : Ce scénario illustre une saturation classique du pool DHCP. Un sous-réseau /24 ne fournit que 254 adresses IP utilisables. En augmentant la taille du sous-réseau et en réduisant la durée du bail, le réseau peut absorber la forte rotation d'appareils typique d'une conférence.

Une grande chaîne de magasins de 200 points de vente utilise la connexion via les réseaux sociaux avec Google et Facebook sur son portail invité. Suite à une mise à jour de l'infrastructure OAuth par Google, les clients accèdent à la page du portail, mais les boutons de connexion sociale affichent un écran blanc.

L'équipe informatique doit identifier les nouveaux domaines d'authentification utilisés par Google et les ajouter au Walled Garden (liste de contrôle d'accès pré-authentification). Pour éviter que cela ne se reproduise, elle doit utiliser des entrées de domaine génériques (par exemple, *.google.com) plutôt que d'intégrer des adresses IP spécifiques en dur, et réviser le Walled Garden chaque trimestre.

Commentaire de l'examinateur : Cela met en évidence la fragilité des Walled Gardens statiques lors de l'utilisation de fournisseurs OAuth tiers. Les fournisseurs d'identité basés sur le cloud modifient fréquemment leurs plages d'adresses IP et leurs domaines CDN. Le filtrage par caractères génériques, pris en charge nativement par les équipements d'entreprise tels que Cisco Meraki et HPE Aruba, constitue la bonne approche architecturale.

Questions d'entraînement

Q1. Le directeur informatique d'un stade signale qu'à la mi-temps, des milliers de supporters tentent de se connecter au WiFi invité. Le portail se charge pour certains, mais beaucoup signalent que leur appareil reste bloqué sur "Obtention de l'adresse IP" ou affiche "Connecté, pas d'Internet" avant même que le portail ne s'affiche. Quel est le défaut d'architecture le plus probable ?

Conseil : Prenez en compte le volume de connexions simultanées par rapport aux ressources disponibles sur le segment réseau.

Voir la réponse type

Le réseau subit une épuisement du pool DHCP. Le sous-réseau est probablement dimensionné trop petit (par exemple, un /24) pour la charge d'utilisateurs simultanés en période de pointe, et la durée de bail DHCP est probablement définie trop haute. L'approche recommandée consiste à augmenter la taille du sous-réseau (par exemple, vers un /22 ou /21) et à réduire la durée du bail DHCP pour correspondre au temps de présence prévu (par exemple, 3 heures pour un stade).

Q2. Un invité se connecte au réseau WiFi de votre magasin. Son appareil affiche un avertissement de sécurité indiquant "Votre connexion n'est pas privée" lorsqu'il tente de charger un site web populaire, et le Captive Portal ne s'affiche jamais. Quel mécanisme est à l'origine de ce blocage ?

Conseil : Pensez à la manière dont les navigateurs modernes gèrent les redirections forcées sur les connexions sécurisées.

Voir la réponse type

Le mécanisme HSTS (HTTP Strict Transport Security) bloque la redirection. L'invité a tenté de naviguer vers un domaine pré-chargé HSTS (via HTTPS), et la passerelle sans fil a tenté d'intercepter cette connexion sécurisée pour la rediriger vers le portail. Le navigateur a détecté la non-correspondance du certificat et a bloqué la connexion. La passerelle doit être configurée pour intercepter uniquement les requêtes HTTP non chiffrées.

Q3. Vous avez récemment activé les options de connexion sociale Google et Microsoft Entra ID sur votre Captive Portal. Les invités signalent que la page du portail se charge, mais que cliquer sur les boutons de connexion entraîne une expiration du délai d'attente (timeout). Le portail fonctionne parfaitement lorsqu'il est testé sur le réseau sans restriction du personnel du service informatique. Quelle configuration est manquante ?

Conseil : Prenez en compte l'état du réseau de l'appareil invité avant que l'authentification ne soit terminée.

Voir la réponse type

Le jardin partagé (walled garden / liste de contrôle d'accès pré-authentification) est incomplet. Les domaines d'authentification OAuth et les CDN utilisés par Google et Microsoft Entra ID n'ont pas été ajoutés à la liste blanche. Comme l'invité n'est pas authentifié, la passerelle bloque l'accès à ces domaines externes, ce qui entraîne l'expiration de la session de connexion sociale. L'équipe informatique doit ajouter des entrées avec caractères génériques (wildcards) pour ces fournisseurs d'identité dans le jardin partagé.

Continuer la lecture de cette série

Dépannage des redirections de Captive Portal : Résoudre les échecs de connexion WiFi invité

Lorsque les invités se connectent à votre WiFi mais ne peuvent pas accéder à Internet, la cause est presque toujours une mauvaise configuration de la redirection du Captive Portal - et non une défaillance matérielle. Ce guide fournit une référence technique approfondie pour les responsables informatiques, les architectes réseau et les directeurs de la technologie afin de diagnostiquer et de résoudre l'ensemble de la chaîne de défaillances : des sondes de connectivité au niveau du système d'exploitation et des conflits de certificats HSTS jusqu'aux écarts d'autorisation RADIUS et à l'épuisement du DHCP. Il associe chaque mode de défaillance à un correctif concret et montre comment la solution cloud agnostique de Purple élimine ces problèmes sur les déploiements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.

Lire le guide →

Top 10 des causes d'expiration de délai DHCP sur les réseaux WiFi à haute densité

Ce guide de référence technique identifie les dix principales causes d'expiration de délai DHCP sur les réseaux WiFi à haute densité et propose des stratégies de remédiation concrètes et indépendantes des fournisseurs. Conçu pour les directeurs informatiques, les architectes réseau et les directeurs d'exploitation de sites, il couvre des principes d'ingénierie approfondis, des flux de travail de mise en œuvre étape par étape et des résultats commerciaux mesurables. Apprenez à éliminer les goulots d'étranglement de connexion et à optimiser votre infrastructure sans fil pour offrir une connectivité transparente dans les environnements d'entreprise exigeants.

Lire le guide →

Utiliser la capture de paquets (PCAP) pour diagnostiquer les lenteurs de performance WiFi

Ce guide de référence technique fournit aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites une méthodologie structurée au niveau des paquets pour diagnostiquer et résoudre les lenteurs de performance des réseaux WiFi d'entreprise grâce à l'analyse de capture de paquets (PCAP). En décortiquant les trames 802.11 brutes — y compris les taux de retransmission, l'utilisation du temps d'antenne et les métadonnées de la couche physique — les équipes peuvent isoler avec précision les goulots d'étranglement de la couche RF des problèmes filaires ou applicatifs. Applicable aux sites à haute densité tels que les hôtels, les chaînes de magasins, les stades et les centres de conférence, ce guide propose des flux de diagnostic exploitables, des études de cas réels et des étapes de remédiation de configuration pour récupérer de la capacité réseau et préserver l'expérience client.

Lire le guide →