Dépannage du WiFi public : résoudre l'erreur « Connecté, pas d'internet » et les échecs de redirection vers la page de connexion
Ce guide de référence technique explique les mécanismes sous-jacents de la détection de Captive Portal et détaille les six principaux modes de défaillance qui empêchent le WiFi invité de se connecter. Il fournit aux responsables informatiques et aux architectes réseau un cadre de dépannage pratique pour résoudre les problèmes de redirection HTTP, les conflits DNS et les défis liés à la randomisation des adresses MAC.
Écouter ce guide
Voir la transcription du podcast
- Synthèse
- Analyse technique approfondie : Comment fonctionne réellement la détection de Captive Portal
- Dépannage et atténuation des risques : Les 6 causes profondes d'échec
- 1. Épuisement du pool DHCP
- 2. Échec de l'interception DNS
- 3. Walled Garden incomplet
- 4. Blocage de redirection HSTS
- 5. VPN actif sur l'appareil client
- 6. Persistance de la session interrompue par la randomisation de l'adresse MAC
- Guide d'implémentation : Construire une architecture résiliente
- ROI et impact commercial
- Podcast de présentation technique
Synthèse

Un visiteur se connecte à votre WiFi, mais la page de connexion ne parvient pas à se charger. Il voit s'afficher un avertissement « Connecté, pas d'internet » et abandonne. Pour les directeurs d'exploitation de sites et les responsables informatiques, cet échec représente une dégradation directe de l'expérience client, une augmentation des tickets de support et une occasion manquée de collecter des données de premier niveau, qui justifient pourtant l'investissement dans l'infrastructure sans fil.
Ce guide explique précisément comment fonctionne la détection de Captive Portal au niveau du système d'exploitation et identifie les six causes profondes responsables de la majorité des échecs de connexion. Il fournit un cadre de dépannage pratique et indépendant des constructeurs pour résoudre la saturation DHCP, les échecs d'interception DNS, les walled gardens incomplets, les redirections HSTS bloquées, les conflits VPN actifs et les problèmes de randomisation d'adresses MAC.
Analyse technique approfondie : Comment fonctionne réellement la détection de Captive Portal
Pour dépanner un portail captif, vous devez d'abord comprendre ce qu'est réellement un Captive Portal au niveau du réseau. Il ne s'agit pas simplement d'une page de connexion - c'est un mécanisme d'interception du trafic au niveau du réseau.
Lorsqu'un appareil invité rejoint un SSID invité, il reçoit une adresse IP via DHCP. Le système d'exploitation n'attend pas que l'utilisateur ouvre un navigateur. Au lieu de cela, un service système d'arrière-plan envoie immédiatement une requête HTTP GET non chiffrée à une URL de test contrôlée par le constructeur. Les appareils Apple interrogent captive.apple.com. Les appareils Android interrogent connectivitycheck.gstatic.com. Les appareils Windows interrogent msftconnecttest.com. Firefox interroge detectportal.firefox.com.
Si le réseau dispose d'un accès internet ouvert, ces requêtes renvoient leur réponse HTTP 200 OK attendue et le système d'exploitation décide que la connexion est active. Cependant, sur un réseau invité, la passerelle sans fil ou le contrôleur intercepte cette requête HTTP avant qu'elle ne puisse atteindre internet. Au lieu de la réponse attendue, la passerelle renvoie une redirection temporaire HTTP 307 pointant vers la page d'accueil du Captive Portal. Le système d'exploitation détecte cette redirection inattendue, comprend qu'il se trouve derrière un Captive Portal et ouvre une fenêtre de navigation isolée (Captive Network Assistant) pour afficher la page de connexion.

Dépannage et atténuation des risques : Les 6 causes profondes d'échec
Lorsqu'un Captive Portal ne parvient pas à se charger, le problème est presque toujours causé par l'un des six modes de défaillance spécifiques suivants.

1. Épuisement du pool DHCP
C'est un problème invisible mais fatal lors d'événements à forte densité. Si vous organisez une conférence avec 2 000 participants et utilisez un sous-réseau /24 standard, vous ne disposez que de 254 adresses IP utilisables. Si la durée du bail DHCP est définie par défaut sur 24 heures, votre pool sera épuisé quelques minutes seulement après l'ouverture des portes. Chaque tentative de connexion ultérieure échouera avant même le début de la séquence du Captive Portal.
Solution : Définissez les durées de bail DHCP des invités entre 15 et 30 minutes pour les environnements à forte rotation. Dimensionnez vos sous-réseaux en fonction des pics d'utilisateurs simultanés, et non de la fréquentation moyenne. Un sous-réseau /22 fournit 1 022 adresses utilisables, ce qui est la taille minimale recommandée pour les espaces professionnels.
2. Échec de l'interception DNS
La redirection vers le Captive Portal repose sur l'interception d'une requête HTTP par la passerelle. Cependant, cette requête nécessite d'abord une résolution DNS. Si votre configuration DNS n'autorise pas les clients non authentifiés à résoudre les noms de domaine externes, la requête ne sera jamais déclenchée.
Solution : Assurez-vous que vos règles de pare-feu autorisent explicitement les requêtes DNS (port 53) provenant de clients non authentifiés. Effectuez une capture de paquets sur un appareil de test pour vérifier que votre interception DNS fonctionne correctement.
3. Walled Garden incomplet
Le walled garden (liste de contrôle d'accès pré-authentification) définit les domaines externes auxquels les invités non authentifiés peuvent accéder. Si les ressources de la splash page de votre portail sont chargées depuis un CDN qui n'est pas inclus dans le walled garden, la page s'affichera sous la forme d'un écran blanc. Si vous proposez des connexions via les réseaux sociaux avec Google, Apple ou Microsoft Entra ID, chaque domaine OAuth utilisé par ces fournisseurs doit être inscrit sur liste blanche. Les fournisseurs d'identité sociale mettent régulièrement à jour leurs plages d'adresses IP de CDN et leurs domaines d'authentification ; un walled garden qui fonctionnait parfaitement il y a six mois peut cesser de fonctionner du jour au lendemain.
Solution : Planifiez des audits trimestriels du walled garden. Lorsque votre matériel le permet, utilisez le filtrage de domaine par caractères génériques, disponible nativement sur Cisco Meraki, HPE Aruba, Ruckus et Juniper Mist. Purple gère et met à jour automatiquement ces entrées de walled garden dans le cadre de notre service géré dans le cloud.
4. Blocage de redirection HSTS
Le protocole HTTP Strict Transport Security (HSTS) est une politique de sécurité du navigateur qui impose des connexions aux domaines spécifiques uniquement via HTTPS. Si un appareil invité tente de communiquer avec un domaine pré-chargé en HSTS, et que votre passerelle essaie d'intercepter cette requête HTTPS pour la rediriger vers le portail, le navigateur détecte une non-correspondance de certificat. Cela affiche un avertissement de sécurité incontournable et bloque complètement la redirection. Solution : Ne tentez jamais d'interception HTTPS pour la redirection initiale. Assurez-vous que votre passerelle ne redirige que les requêtes de test HTTP non chiffrées. La solution à long terme basée sur les normes est la RFC 8910, qui définit l'option DHCP 114. Cette option permet à votre serveur DHCP de communiquer directement l'URL du Captive Portal à l'appareil client, éliminant ainsi le besoin de redirection HTTP. iOS 14 et Android 11 et versions ultérieures le prennent en charge nativement.
5. VPN actif sur l'appareil client
Un VPN chiffre l'ensemble du trafic de l'appareil et le achemine via un tunnel externe avant qu'il n'atteigne votre passerelle. Votre passerelle ne voit jamais la requête HTTP, de sorte que la séquence de détection du Captive Portal n'est jamais déclenchée. Les visiteurs ne voient ni la page de connexion ni Internet.
Solution : Le visiteur doit désactiver le VPN, se connecter au portail, puis réactiver le VPN. Pour le personnel d'accueil, demander si le visiteur utilise un VPN doit être la première étape de dépannage.
6. Persistance de la session interrompue par la randomisation de l'adresse MAC
Les appareils iOS et Android modernes utilisent par défaut des adresses MAC aléatoires par mesure de confidentialité. Chaque fois qu'un appareil se connecte à un réseau, il peut présenter une adresse MAC différente. Étant donné que l'état de la session du Captive Portal est suivi par l'adresse MAC, un visiteur authentifié il y a une heure peut se voir présenter à nouveau la page de connexion après le changement de l'adresse MAC de son appareil.
Solution : La solution pour les visiteurs consiste à désactiver l'adresse privée pour votre SSID spécifique dans leurs paramètres réseau. La solution côté opérateur consiste à implémenter une authentification basée sur les profils, telle que Passpoint et OpenRoaming via 802.1X, qui authentifie au niveau de la couche 2 à l'aide d'identifiants plutôt que d'adresses MAC, rendant la randomisation non pertinente.
Guide d'implémentation : Construire une architecture résiliente
Le déploiement d'un Captive Portal bien configuré nécessite des choix d'architecture actifs.
- Vérifiez votre walled garden avant chaque événement majeur. Les entrées minimales requises sont : le FQDN de votre portail et tous les domaines CDN associés, les URL de détection de Captive Portal pour Apple, Google, Windows et Firefox, ainsi que les domaines OAuth pour chaque fournisseur de connexion sociale que vous prenez en charge.
- Utilisez un certificat TLS de confiance publique. Les certificats auto-signés déclencheront des avertissements de navigateur sur tous les appareils. Renouvelez les certificats avant leur expiration ; un certificat expiré est l'une des causes les plus courantes de pannes soudaines de portail à l'échelle d'un site.
- Testez à partir d'un état neuf et non authentifié. Tester le portail à partir d'un appareil préalablement authentifié contournera complètement le portail car la session est toujours active. Testez toujours depuis un nouvel appareil, ou depuis un appareil sur lequel vous avez oublié le réseau et supprimé le profil WiFi.
- Ajustez les délais d'inactivité. De nombreux contrôleurs sont configurés par défaut sur un délai d'inactivité de 5 minutes, ce qui est très agressif pour les appareils mobiles qui passent en mode veille entre deux interactions. Définissez le délai d'inactivité sur au moins 30 minutes pour les environnements de l'hôtellerie et de la vente au détail.
ROI et impact commercial
Les Captive Portals sont une technologie éprouvée, mais ils présentent des complexités inhérentes. L'objectif stratégique est d'évoluer vers une authentification fluide et sécurisée.
OpenRoaming, basé sur Passpoint et 802.1X, aide les visiteurs réguliers à se connecter automatiquement et de manière sécurisée sans jamais voir de page de connexion. Dans le cadre de notre offre Connect, Purple agit en tant que fournisseur d'identité gratuit pour OpenRoaming. Des sites comme Premier Inn et Manchester Airports Group l'utilisent déjà pour éliminer les tracas de la ré-authentification pour les visiteurs récurrents, tout en maintenant une totale conformité GDPR et la collecte de données de première partie. En réduisant les échecs de connexion, vous pouvez directement augmenter le volume de données de première partie collectées, renforçant ainsi la fidélité des clients et l'engagement personnalisé.
Podcast de présentation technique
Écoutez une analyse détaillée de ces étapes de dépannage par notre Senior Solutions Architect dans notre présentation technique de 10 minutes.
Définitions clés
Captive Portal
Un mécanisme d'interception du trafic au niveau du réseau qui limite l'accès à internet jusqu'à ce que l'utilisateur effectue une action requise, comme accepter les conditions d'utilisation ou saisir des identifiants sur une page de connexion.
La méthode principale permettant aux établissements d'entreprise de sécuriser l'accès des invités et de collecter des données de première main.
Walled Garden
Une liste de contrôle d'accès pré-authentification qui définit les adresses IP ou domaines externes qu'un appareil invité non authentifié est autorisé à atteindre.
Essentiel pour autoriser l'accès aux ressources du portail, aux CDN et aux fournisseurs d'identité OAuth avant que l'utilisateur ne soit entièrement authentifié.
Captive Network Assistant (CNA)
Une fenêtre de navigation isolée et aux fonctionnalités limitées, ouverte automatiquement par le système d'exploitation lorsqu'il détecte une redirection de Captive Portal.
Il s'agit de l'interface sur laquelle l'invité voit et interagit réellement avec votre page de connexion.
HSTS (HTTP Strict Transport Security)
Un mécanisme de politique de sécurité web qui aide à protéger les sites internet contre les attaques de l'homme du milieu en obligeant les navigateurs à interagir avec eux uniquement via des connexions sécurisées HTTPS.
Le mécanisme HSTS empêche les passerelles d'utiliser l'interception HTTPS pour rediriger les utilisateurs vers un Captive Portal, provoquant des échecs de connexion s'il est mal configuré.
Saturation du pool DHCP
Un état dans lequel un serveur DHCP a attribué toutes les adresses IP disponibles dans son sous-réseau configuré, empêchant de nouveaux appareils de rejoindre le réseau.
Une cause fréquente des erreurs « Connecté, pas d'internet » dans les environnements à haute densité comme les stades ou les conférences.
Randomisation de l'adresse MAC
Une fonctionnalité de confidentialité présente dans les systèmes d'exploitation mobiles modernes qui génère une adresse MAC aléatoire pour chaque réseau WiFi, empêchant le suivi à travers différents emplacements.
Cette fonctionnalité interrompt la persistance de la session sur les Captive Portals, obligeant les invités à se réauthentifier si leur adresse MAC change.
OpenRoaming
Une fédération de réseaux WiFi qui permet aux utilisateurs de se connecter automatiquement et de manière sécurisée aux réseaux participants sans saisir d'identifiants ni interagir avec un Captive Portal.
Le successeur stratégique des Captive Portals pour les visiteurs récurrents, pris en charge par Purple en tant que fournisseur d'identité gratuit.
RFC 8910 (Option DHCP 114)
Un standard qui permet à un serveur DHCP de fournir directement l'URL du Captive Portal à l'appareil client lors de l'attribution de l'adresse IP.
Cela contourne entièrement le besoin de redirection HTTP, résolvant les problèmes causés par HSTS et améliorant la vitesse de détection du portail.
Exemples concrets
Un hôtel de 350 chambres du centre de Londres utilise un unique sous-réseau /24 pour son WiFi invité. Lors d'une grande conférence, 400 délégués arrivent simultanément. En l'espace de 20 minutes, les clients signalent qu'ils sont connectés mais qu'ils ne parviennent pas à accéder au portail ou à l'internet.
La solution immédiate consiste à étendre le sous-réseau à /22, ce qui offre 1 022 adresses utilisables, et à réduire la durée du bail DHCP de 24 heures à 8 heures. À plus long terme, la solution consiste à implémenter le Captive Portal géré dans le cloud de Purple, qui surveille l'utilisation du pool DHCP en temps réel et alerte l'équipe réseau avant qu'une saturation ne survienne.
Une grande chaîne de magasins de 200 points de vente utilise la connexion via les réseaux sociaux avec Google et Facebook sur son portail invité. Suite à une mise à jour de l'infrastructure OAuth par Google, les clients accèdent à la page du portail, mais les boutons de connexion sociale affichent un écran blanc.
L'équipe informatique doit identifier les nouveaux domaines d'authentification utilisés par Google et les ajouter au Walled Garden (liste de contrôle d'accès pré-authentification). Pour éviter que cela ne se reproduise, elle doit utiliser des entrées de domaine génériques (par exemple, *.google.com) plutôt que d'intégrer des adresses IP spécifiques en dur, et réviser le Walled Garden chaque trimestre.
Questions d'entraînement
Q1. Le directeur informatique d'un stade signale qu'à la mi-temps, des milliers de supporters tentent de se connecter au WiFi invité. Le portail se charge pour certains, mais beaucoup signalent que leur appareil reste bloqué sur "Obtention de l'adresse IP" ou affiche "Connecté, pas d'Internet" avant même que le portail ne s'affiche. Quel est le défaut d'architecture le plus probable ?
Conseil : Prenez en compte le volume de connexions simultanées par rapport aux ressources disponibles sur le segment réseau.
Voir la réponse type
Le réseau subit une épuisement du pool DHCP. Le sous-réseau est probablement dimensionné trop petit (par exemple, un /24) pour la charge d'utilisateurs simultanés en période de pointe, et la durée de bail DHCP est probablement définie trop haute. L'approche recommandée consiste à augmenter la taille du sous-réseau (par exemple, vers un /22 ou /21) et à réduire la durée du bail DHCP pour correspondre au temps de présence prévu (par exemple, 3 heures pour un stade).
Q2. Un invité se connecte au réseau WiFi de votre magasin. Son appareil affiche un avertissement de sécurité indiquant "Votre connexion n'est pas privée" lorsqu'il tente de charger un site web populaire, et le Captive Portal ne s'affiche jamais. Quel mécanisme est à l'origine de ce blocage ?
Conseil : Pensez à la manière dont les navigateurs modernes gèrent les redirections forcées sur les connexions sécurisées.
Voir la réponse type
Le mécanisme HSTS (HTTP Strict Transport Security) bloque la redirection. L'invité a tenté de naviguer vers un domaine pré-chargé HSTS (via HTTPS), et la passerelle sans fil a tenté d'intercepter cette connexion sécurisée pour la rediriger vers le portail. Le navigateur a détecté la non-correspondance du certificat et a bloqué la connexion. La passerelle doit être configurée pour intercepter uniquement les requêtes HTTP non chiffrées.
Q3. Vous avez récemment activé les options de connexion sociale Google et Microsoft Entra ID sur votre Captive Portal. Les invités signalent que la page du portail se charge, mais que cliquer sur les boutons de connexion entraîne une expiration du délai d'attente (timeout). Le portail fonctionne parfaitement lorsqu'il est testé sur le réseau sans restriction du personnel du service informatique. Quelle configuration est manquante ?
Conseil : Prenez en compte l'état du réseau de l'appareil invité avant que l'authentification ne soit terminée.
Voir la réponse type
Le jardin partagé (walled garden / liste de contrôle d'accès pré-authentification) est incomplet. Les domaines d'authentification OAuth et les CDN utilisés par Google et Microsoft Entra ID n'ont pas été ajoutés à la liste blanche. Comme l'invité n'est pas authentifié, la passerelle bloque l'accès à ces domaines externes, ce qui entraîne l'expiration de la session de connexion sociale. L'équipe informatique doit ajouter des entrées avec caractères génériques (wildcards) pour ces fournisseurs d'identité dans le jardin partagé.
Continuer la lecture de cette série
Dépannage des redirections de Captive Portal : Résoudre les échecs de connexion WiFi invité
Lorsque les invités se connectent à votre WiFi mais ne peuvent pas accéder à Internet, la cause est presque toujours une mauvaise configuration de la redirection du Captive Portal - et non une défaillance matérielle. Ce guide fournit une référence technique approfondie pour les responsables informatiques, les architectes réseau et les directeurs de la technologie afin de diagnostiquer et de résoudre l'ensemble de la chaîne de défaillances : des sondes de connectivité au niveau du système d'exploitation et des conflits de certificats HSTS jusqu'aux écarts d'autorisation RADIUS et à l'épuisement du DHCP. Il associe chaque mode de défaillance à un correctif concret et montre comment la solution cloud agnostique de Purple élimine ces problèmes sur les déploiements Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks et Fortinet.
Top 10 des causes d'expiration de délai DHCP sur les réseaux WiFi à haute densité
Ce guide de référence technique identifie les dix principales causes d'expiration de délai DHCP sur les réseaux WiFi à haute densité et propose des stratégies de remédiation concrètes et indépendantes des fournisseurs. Conçu pour les directeurs informatiques, les architectes réseau et les directeurs d'exploitation de sites, il couvre des principes d'ingénierie approfondis, des flux de travail de mise en œuvre étape par étape et des résultats commerciaux mesurables. Apprenez à éliminer les goulots d'étranglement de connexion et à optimiser votre infrastructure sans fil pour offrir une connectivité transparente dans les environnements d'entreprise exigeants.
Utiliser la capture de paquets (PCAP) pour diagnostiquer les lenteurs de performance WiFi
Ce guide de référence technique fournit aux responsables informatiques, architectes réseau et directeurs d'exploitation de sites une méthodologie structurée au niveau des paquets pour diagnostiquer et résoudre les lenteurs de performance des réseaux WiFi d'entreprise grâce à l'analyse de capture de paquets (PCAP). En décortiquant les trames 802.11 brutes — y compris les taux de retransmission, l'utilisation du temps d'antenne et les métadonnées de la couche physique — les équipes peuvent isoler avec précision les goulots d'étranglement de la couche RF des problèmes filaires ou applicatifs. Applicable aux sites à haute densité tels que les hôtels, les chaînes de magasins, les stades et les centres de conférence, ce guide propose des flux de diagnostic exploitables, des études de cas réels et des étapes de remédiation de configuration pour récupérer de la capacité réseau et préserver l'expérience client.