Captive Portal रीडायरेक्ट समस्या निवारण: Guest WiFi कनेक्शन विफलताओं का समाधान

कार्यकारी सारांश (Executive summary)

एंटरप्राइज नेटवर्किंग में सबसे आम सपोर्ट टिकटों में से 'guest WiFi connected but no internet' (अतिथि WiFi कनेक्टेड है लेकिन इंटरनेट नहीं है) एक है। इसके लक्षण हर विजिटर को दिखाई देते हैं; लेकिन जब तक IT टीमें रीडायरेक्ट चेन को नहीं समझतीं, तब तक इसका कारण अधिकांश टीमों के लिए अदृश्य रहता है। एक Captive Portal (जिसे स्प्लैश पेज या हॉटस्पॉट गेटवे भी कहा जाता है) डिवाइस के शुरुआती HTTP कनेक्टिविटी प्रोब को रोकता है और लॉगिन पेज पर एक HTTP 302 रीडायरेक्ट जारी करता है। यदि उस चेन में कोई भी चरण टूटता है - जैसे ब्लॉक किए गए प्रोब, HSTS टकराव, वॉल्ड गार्डन गैप, RADIUS विफलताएं, या DHCP समाप्ति - तो अतिथि को केवल एक कनेक्टेड WiFi आइकन दिखाई देता है और कोई इंटरनेट नहीं मिलता है। यह गाइड आपको हर विफलता मोड, अंतर्निहित प्रोटोकॉल मैकेनिक्स और उन्हें हल करने वाले कॉन्फ़िगरेशन परिवर्तनों के बारे में विस्तार से बताती है। Purple 80,000+ से अधिक लाइव स्थानों पर काम करता है और सालाना 440 मिलियन लॉगिन को प्रोसेस करता है (Purple आंतरिक डेटा, 2024), और यहाँ वर्णित पैटर्न आतिथ्य, रिटेल, परिवहन और सार्वजनिक क्षेत्र के परिनियोजनों में हमारे द्वारा देखे जाने वाले सबसे लगातार मूल कारणों का प्रतिनिधित्व करते हैं।

तकनीकी गहराई (Technical deep-dive)

Captive portal डिटेक्शन वास्तव में कैसे काम करता है

प्रत्येक प्रमुख ऑपरेटिंग सिस्टम में यह पता लगाने के लिए एक अंतर्निहित तंत्र होता है कि इंटरनेट एक्सेस देने से पहले नेटवर्क को प्रमाणीकरण की आवश्यकता है या नहीं। इन तंत्रों को समझना ही सभी Captive Portal समस्या निवारण का आधार है।

जब कोई डिवाइस किसी SSID के साथ जुड़ता है, तो OS एक पूर्वनिर्धारित URL पर एक अनएन्क्रिप्टेड HTTP GET अनुरोध भेजता है। नीचे दी गई तालिका प्लेटफ़ॉर्म के अनुसार प्रोब URL को सूचीबद्ध करती है।

यदि गेटवे इन अनुरोधों में से किसी एक को रोकता है और Captive Portal URL की ओर इशारा करते हुए एक HTTP 302 रीडायरेक्ट लौटाता है, तो OS पहचान लेता है कि यह एक पोर्टल के पीछे है और स्प्लैश पेज प्रदर्शित करने के लिए एक छद्म-ब्राउज़र (एक लाइटवेट WebView) खोलता है। यदि प्रोब को पूरी तरह से ब्लॉक कर दिया जाता है, तो OS 'No internet connection' रिपोर्ट करता है और कभी भी पोर्टल खोलने का प्रयास नहीं करता है। यह 'guest WiFi connected but no internet' लक्षण का सबसे आम कारण है।

HSTS समस्या

HTTP Strict Transport Security (HSTS) एक वेब सुरक्षा नीति है जिसे RFC 6797 में परिभाषित किया गया है। यह ब्राउज़र को किसी डोमेन पर सभी सामान्य HTTP कनेक्शनों को अस्वीकार करने और किसी भी ऐसे प्रमाणपत्र को अस्वीकार करने का निर्देश देता है जो बिल्कुल मेल नहीं खाता है। google.com, facebook.com और अधिकांश बैंकिंग साइटों सहित प्रमुख डोमेन Chrome, Firefox, Safari और Edge में निर्मित HSTS प्रीलोड सूची में शामिल हैं।

जब कोई गेस्ट ब्राउज़र खोलता है और google.com टाइप करता है, तो ब्राउज़र डिवाइस से बाहर जाने से पहले अनुरोध को HTTPS में अपग्रेड कर देता है। गेटवे किसी HTTPS अनुरोध को इंटरसेप्ट नहीं कर सकता है और इसे साफ़ तौर पर रीडायरेक्ट नहीं कर सकता है - इसे google.com के लिए एक प्रमाणपत्र प्रस्तुत करना होगा, जो इसके पास नहीं है। ब्राउज़र प्रमाणपत्र बेमेल का पता लगाता है और एक कड़ी सुरक्षा चेतावनी प्रदर्शित करता है। गेस्ट लॉगिन पेज पर आगे नहीं बढ़ सकता है।

सही आर्किटेक्चर पूरी तरह से ऊपर वर्णित OS-लेवल HTTP प्रोब्स पर निर्भर करता है। वे प्रोब्स विशेष रूप से नॉन-HSTS URLs के लिए सामान्य HTTP का उपयोग करते हैं ताकि गेटवे प्रमाणपत्र संघर्षों के बिना उन्हें इंटरसेप्ट और रीडायरेक्ट कर सकें। आपके गेटवे को इन HTTP प्रोब्स को इंटरसेप्ट करना चाहिए और 302 रीडायरेक्ट जारी करना चाहिए। Captive Portal उद्देश्यों के लिए HTTPS ट्रैफ़िक को इंटरसेप्ट करने का प्रयास न करें।

walled garden

walled garden डोमेन और IP एड्रेस का वह सेट है जहां कोई डिवाइस प्रमाणित होने से पहले पहुंच सकता है। यदि walled garden बहुत संकीर्ण है, तो स्प्लैश पेज लोड हो सकता है लेकिन प्रमाणीकरण विफल हो जाएगा। सामान्य कमियों में शामिल हैं:

• पहचान प्रदाता डोमेन: यदि आप सोशल या SSO लॉगिन के लिए Microsoft Entra ID, Okta, या Google Workspace का उपयोग करते हैं, तो उनके प्रमाणीकरण एंडपॉइंट walled garden में होने चाहिए।
• CDN और एसेट डोमेन: आपका स्प्लैश पेज कंटेंट डिलीवरी नेटवर्क से CSS, JavaScript या फ़ॉन्ट्स लोड कर सकता है। यदि वे CDN डोमेन ब्लॉक हैं, तो पेज टूटा हुआ रेंडर होगा।
• पेमेंट प्रोसेसर डोमेन: यदि आप Stripe या किसी अन्य प्रोसेसर के माध्यम से एक्सेस के लिए शुल्क लेते हैं, तो उनके JavaScript SDK डोमेन पहले से प्रमाणित होने चाहिए।
• Purple प्लेटफॉर्म डोमेन: Purple के क्लाउड ओवरले के लिए गेटवे को Purple के RADIUS सर्वर और पोर्टल एंडपॉइंट तक पहुंचने की आवश्यकता होती है। ये प्रत्येक समर्थित प्लेटफॉर्म के लिए Purple के हार्डवेयर इंटीग्रेशन गाइड में प्रलेखित हैं।

RADIUS और ऑथराइजेशन गैप

RADIUS (Remote Authentication Dial-In User Service) वह प्रोटोकॉल है जो आपके स्थानीय गेटवे को ऑथेंटिकेशन प्लेटफॉर्म से जोड़ता है। जब कोई गेस्ट लॉगिन फॉर्म पूरा करता है, तो Captive Portal क्रेडेंशियल को RADIUS सर्वर पर भेजता है। RADIUS सर्वर Access-Accept या Access-Reject संदेश लौटाता है। गेटवे इंटरनेट एक्सेस देने वाले फ़ायरवॉल नियम को खोलकर या बंद रखकर उस संदेश पर कार्रवाई करता है।

ऑथराइजेशन गैप - जहां एक गेस्ट स्प्लैश पेज पर सफलतापूर्वक लॉगिन करता है लेकिन फिर भी उसके पास इंटरनेट नहीं होता है - इसका मतलब लगभग हमेशा यह होता है कि गेटवे को Access-Accept संदेश प्राप्त या प्रोसेस नहीं हुआ। सामान्य कारणों में एक बेमेल शेयर्ड सीक्रेट, स्थानीय फ़ायरवॉल द्वारा ब्लॉक किए गए UDP पोर्ट 1812 और 1813, या गेटवे पर गलत तरीके से कॉन्फ़िगर किया गया RADIUS सर्वर IP एड्रेस शामिल हैं।

उच्च-घनत्व वाले वातावरण में DHCP की कमी

स्टेडियमों, सम्मेलन केंद्रों और परिवहन केंद्रों में, DHCP का समाप्त होना कनेक्शन विफलताओं का एक सामान्य कारण है जो बिल्कुल captive portal की समस्या जैसा दिखता है। यदि DHCP पूल भरा हुआ है, तो एक नया डिवाइस एक्सेस पॉइंट से जुड़ जाता है लेकिन उसे कभी भी IP एड्रेस नहीं मिलता है। IP एड्रेस के बिना, डिवाइस HTTP प्रोब नहीं भेज सकता और कभी भी captive portal तक नहीं पहुंच पाता है। डिवाइस SSID से कनेक्टेड दिखाई देता है लेकिन उसमें इंटरनेट नहीं होता है।

Manchester Airports Group (MAG) जैसे स्थानों के लिए, जहां यात्रियों की संख्या तेजी से चरम पर पहुंचती है, सबनेट का आकार औसत नहीं, बल्कि अधिकतम समवर्ती डिवाइस संख्या के लिए निर्धारित किया जाना चाहिए। कम DHCP लीज समय (अस्थायी विज़िटर नेटवर्क के लिए 15 - 30 मिनट) चले गए डिवाइसों से एड्रेस जल्दी वापस ले लेता है।

Implementation guide

निम्नलिखित चरण किसी भी हार्डवेयर प्लेटफॉर्म - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks, या Fortinet - पर लागू होते हैं, जब उन्हें Purple के क्लाउड ओवरले के साथ एकीकृत किया जाता है।

चरण 1: SSID को बाहरी captive portal के लिए कॉन्फ़िगर करें। अपने हार्डवेयर कंट्रोलर में, गेस्ट SSID को अन-ऑथेंटिकेटेड क्लाइंट्स को Purple के बाहरी पोर्टल URL पर रीडायरेक्ट करने के लिए सेट करें। कंट्रोलर पर ही किसी भी स्थानीय स्प्लैश पेज को अक्षम करें।

चरण 2: walled garden को परिभाषित करें। न्यूनतम रूप से निम्नलिखित डोमेन जोड़ें: Purple का पोर्टल और RADIUS एंडपॉइंट (अपने हार्डवेयर एकीकरण गाइड देखें), ऊपर सूचीबद्ध OS डिटेक्शन प्रोब URL, आपके पहचान प्रदाता डोमेन (Microsoft Entra ID, Okta, या Google Workspace), और आपके स्प्लैश पेज एसेट द्वारा उपयोग किए जाने वाले कोई भी CDN डोमेन।

चरण 3: RADIUS को कॉन्फ़िगर करें। Purple के RADIUS सर्वर IP एड्रेस, अपने Purple डैशबोर्ड से साझा रहस्य (shared secret) दर्ज करें, और प्रमाणीकरण पोर्ट को 1812 और अकाउंटिंग पोर्ट को 1813 पर सेट करें। सत्यापित करें कि आपका स्थानीय फ़ायरवॉल इन पोर्टों पर आउटबाउंड UDP की अनुमति देता है।

चरण 4: सत्र पैरामीटर सेट करें। हॉस्पिटैलिटी और रिटेल के लिए, MAC एड्रेस कैशिंग सक्षम के साथ सत्र की अवधि 24 घंटे सेट करें। यह मेहमानों को एक ही विज़िट के दौरान दोबारा प्रमाणित करने के लिए मजबूर होने से बचाता है। उच्च-सुरक्षा वाले वातावरण के लिए, पुन: प्रमाणीकरण के साथ कम अवधि के सत्र उपयुक्त हैं।

चरण 5: अपने DHCP स्कोप का आकार निर्धारित करें। पीक क्षमता पर अपने स्थान के लिए अधिकतम समवर्ती डिवाइस संख्या की गणना करें। 500 सीटों वाले रेस्तरां में व्यस्त सेवा के दौरान 800 डिवाइस दिखाई दे सकते हैं। DHCP पूल का आकार 30 मिनट के लीज समय के साथ 1,000 एड्रेस तक निर्धारित करें।

चरण 6: विभिन्न ऑपरेटिंग सिस्टम पर परीक्षण करें। कॉन्फ़िगरेशन के बाद, iOS, Android, और Windows डिवाइस पर संपूर्ण प्रवाह का परीक्षण करें। प्रत्येक एक अलग प्रोब URL और WebView कार्यान्वयन का उपयोग करता है। एक प्लेटफ़ॉर्म पर विफलता जबकि अन्य काम कर रहे हों, लगभग हमेशा एक walled garden की कमी होती है।

Best practices

निम्नलिखित सिफारिशें Purple के 80,000+ से अधिक स्थानों के परिनियोजन के मानकों और पैटर्नों को दर्शाती हैं।

अतिथि (guest) और कर्मचारी (staff) नेटवर्क को अलग करें। कम से कम तीन SSIDs चलाएं: Guest WiFi, Staff WiFi, और एक IoT नेटवर्क। Guest ट्रैफ़िक को आंतरिक सिस्टम से अलग किया जाना चाहिए। आर्किटेक्चर विवरण के लिए हमारा गाइड Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi देखें।

एक समर्पित गेस्ट VLAN का उपयोग करें। लेटरल मूवमेंट को रोकने और फ़ायरवॉल पॉलिसी को सरल बनाने के लिए गेस्ट ट्रैफ़िक को उसके अपने VLAN में विभाजित करें। यदि कोई भुगतान कार्ड डेटा नेटवर्क से होकर गुजरता है, तो यह एक PCI DSS आवश्यकता है।

सचेत-विकल्प ऑप्ट-इन्स लागू करें। GDPR की आवश्यकता है कि कैप्टिव पोर्टल पर डेटा संग्रह सूचित, सकारात्मक सहमति पर आधारित हो। Purple के सचेत-विकल्प ऑप्ट-इन्स डेटा संग्रह के विकल्पों को स्पष्ट रूप से प्रस्तुत करते हैं, जिसमें प्रत्येक उद्देश्य के लिए अलग-अलग टिक बॉक्स होते हैं। UK या EU में संचालित होने वाले स्थानों के लिए यह वैकल्पिक नहीं है।

प्रोएक्टिव रूप से पोर्टल की स्थिति की निगरानी करें। Purple का WiFi Analytics प्लेटफ़ॉर्म लॉगिन सफलता दरों, सेशन काउंट और प्रमाणीकरण विफलताओं की रीयल-टाइम दृश्यता प्रदान करता है। सफल लॉगिन में अचानक गिरावट मेहमानों की शिकायत शुरू होने से पहले RADIUS या वॉल्ड गार्डन समस्या की प्रारंभिक चेतावनी है।

संगत ब्रांडिंग लागू करें। स्प्लैश पेज वह पहला ब्रांडेड इंटरैक्शन है जो किसी अतिथि का आपके नेटवर्क के साथ होता है। एक अच्छी तरह से डिज़ाइन किया गया पोर्टल ऑप्ट-इन दरों को बढ़ाता है और WiFi अनुभव के लिए अपेक्षाएं सेट करता है। डिज़ाइन मार्गदर्शन के लिए How to make a great first impression with your guest WiFi देखें।

समस्या निवारण और जोखिम न्यूनीकरण

जब किसी कैप्टिव पोर्टल की समस्या की रिपोर्ट की जाए, तो कोई भी कॉन्फ़िगरेशन परिवर्तन करने से पहले इस नैदानिक अनुक्रम का पालन करें।

विफलता बिंदु को अलग करें। अतिथि से पूछें कि वे किस OS और ब्राउज़र का उपयोग कर रहे हैं। उसी OS पर स्वयं उसी प्रवाह का परीक्षण करें। यदि समस्या OS-विशिष्ट है, तो इसका कारण लगभग निश्चित रूप से उस OS के प्रोब URL के लिए एक गायब वॉल्ड गार्डन प्रविष्टि है।

DNS रिज़ॉल्यूशन की जाँच करें। गेस्ट VLAN पर मौजूद किसी डिवाइस से, कैप्टिव पोर्टल होस्टनाम को रिज़ॉल्व करने का प्रयास करें। यदि DNS रिज़ॉल्यूशन विफल हो जाता है, तो डिवाइस स्प्लैश पेज तक नहीं पहुंच सकता है, भले ही रीडायरेक्ट सही ढंग से जारी किया गया हो। सत्यापित करें कि आपका DHCP सर्वर विश्वसनीय DNS पते वितरित कर रहा है और गेटवे प्री-ऑथेंटिकेशन स्थिति में DNS प्रश्नों की अनुमति देता है।

रीडायरेक्ट को कैप्चर करें। HTTP एक्सचेंज को देखने के लिए ब्राउज़र डेवलपर टूल (F12) या पैकेट कैप्चर का उपयोग करें। आपको OS प्रोब अनुरोध और उसके बाद पोर्टल URL युक्त एक HTTP 302 प्रतिक्रिया देखनी चाहिए। यदि आप प्रोब अनुरोध देखते हैं लेकिन कोई 302 प्रतिक्रिया नहीं मिलती है, तो गेटवे सही ढंग से इंटरसेप्ट नहीं कर रहा है। यदि आपको कोई प्रोब अनुरोध बिल्कुल नहीं दिखता है, तो OS ने पहले ही निर्धारित कर लिया है कि उसके पास इंटरनेट एक्सेस है (संभवतः कैश्ड स्थिति से) और वह प्रोब नहीं भेज रहा है।

RADIUS संचार सत्यापित करें। गेटवे पर, RADIUS अकाउंटिंग लॉग्स की जांच करें। एक सफल प्रमाणीकरण एक Accounting-Start रिकॉर्ड बनाता है। यदि अतिथि लॉग इन करने के बाद आपको कोई अकाउंटिंग रिकॉर्ड नहीं दिखता है, तो RADIUS संचार टूटा हुआ है। साझा किए गए गुप्त (shared secret), सर्वर IP और फ़ायरवॉल नियमों की जांच करें।

DHCP लीज़ उपयोग की जाँच करें। DHCP सर्वर पर, पूल के आकार के मुकाबले वर्तमान लीज़ संख्या की समीक्षा करें। यदि उपयोग 90% से अधिक है, तो आप सीमा समाप्त होने के करीब हैं। पूल का विस्तार करें या तुरंत लीज़ का समय कम करें।

निम्नलिखित तालिका सबसे आम लक्षणों को उनके मूल कारणों और प्रासंगिक समाधान से जोड़ती है।

ROI और व्यावसायिक प्रभाव

प्रत्येक कैप्टिव पोर्टल विफलता एक छूटा हुआ डेटा कैप्चर अवसर है। Purple का Guest WiFi प्लेटफॉर्म प्रत्येक सफल प्रमाणीकरण को एक फर्स्ट-पार्टी डेटा रिकॉर्ड - नाम, ईमेल, जनसांख्यिकीय डेटा, और विज़िट आवृत्ति - में परिवर्तित करता है जो सीधे मार्केटिंग ऑटोमेशन और लॉयल्टी कार्यक्रमों में फीड होता है।

Premier Inn या Whitbread जैसे hospitality ऑपरेटर के लिए, 700-संपत्ति वाले एस्टेट में पोर्टल प्रमाणीकरण सफलता दर में 10% का सुधार सीधे प्रति माह हजारों अतिरिक्त ऑप्ट-इन रिकॉर्ड में बदल जाता है। वे रिकॉर्ड खरीदे गए सूचियों की तुलना में काफी उच्च ओपन रेट वाले व्यक्तिगत ईमेल अभियानों को शक्ति प्रदान करते हैं।

retail ऑपरेटरों के लिए, कैप्टिव पोर्टल खरीदार के रुकने के समय (dwell time), बार-बार आने की आवृत्ति, और विभिन्न स्थानों के व्यवहार को समझने का प्रवेश द्वार है। Purple ने अपने वेन्यू नेटवर्क पर 29 बिलियन डेटा पॉइंट (Purple आंतरिक डेटा) एकत्र किए हैं। वह डेटा केवल उसी प्रमाणीकरण दर जितना अच्छा है जो इसे उत्पन्न करता है।

Manchester Airports Group जैसे transport हब के लिए, विश्वसनीय गेस्ट WiFi एक यात्री संतुष्टि मीट्रिक है जिसे बोर्ड स्तर पर ट्रैक किया जाता है। एक पोर्टल जो पीक प्रस्थान अवधियों के दौरान रुक-रुक कर विफल रहता है, वह शिकायतें उत्पन्न करता है और वेन्यू के नेट प्रमोटर स्कोर (Net Promoter Score) को नुकसान पहुंचाता है। healthcare परिवेशों के लिए, विश्वसनीय विज़िटर WiFi क्लिनिकल कर्मचारियों पर दबाव को कम करता है जो अन्यथा कनेक्टिविटी संबंधी शिकायतों का समाधान करते, और मरीज़ के अनुभव मेट्रिक्स का समर्थन करता है।

Purple का 99.999% अपटाइम SLA यह सुनिश्चित करता है कि क्लाउड ओवरले स्वयं विफलता का कारण न बने। जब पोर्टल की समस्याएं आती हैं, तो कारण लगभग हमेशा स्थानीय कॉन्फ़िगरेशन होता है - जिसे यह मार्गदर्शिका आपको बिना कोई सहायता टिकट खोले हल करने के लिए सुसज्जित करती है।

-

References

[1] Troubleshooting Tip: General captive portal explanation, flow and troubleshooting. Fortinet Community, November 2024. https://community.fortinet.com/fortigate-3/troubleshooting-tip-general-captive-portal-explanation-flow-and-troubleshooting-188409

[2] RFC 8910: Captive-Portal Identification in DHCP and Router Advertisements. IETF. https://www.rfc-editor.org/info/rfc8910

[3] Network Connectivity Status Indicator overview for Windows. Microsoft Learn, February 2025. https://learn.microsoft.com/en-us/windows-server/networking/ncsi/ncsi-overview

[4] 7 Captive Portal Problems That Break Guest WiFi (And Quick Fixes). Spotipo, February 2026. https://www.spotipo.com/post/troubleshooting-captive-portals-common-issues

[5] Solution for HSTS issues with captive portal. Ubiquiti Community. https://community.ui.com/questions/Solution-for-HSTS-issues-with-captive-portal/17b033e7-3dfe-4830-af8f-bf6ead23d8b0