Captive Portal Login: Troubleshooting and Explainer
Questa guida fornisce un riferimento tecnico completo per comprendere, distribuire e risolvere i problemi dei sistemi di Captive Portal login negli ambienti WiFi guest aziendali. Spiega gli esatti meccanismi di reindirizzamento HTTP e di DNS hijacking utilizzati dai moderni Captive Portal, illustra in dettaglio come l'HSTS e i browser HTTPS sicuri possano bloccare i reindirizzamenti locali e fornisce una checklist di risoluzione dei problemi chiara e pratica che copre sia le soluzioni lato client (disattivazione delle VPN, disattivazione della randomizzazione MAC, utilizzo di NeverSSL) sia le risoluzioni lato operatore (configurazione del walled garden, ottimizzazione del tempo di lease DHCP, verifica dell'intercettazione DNS). I gestori delle location, i responsabili IT e gli architetti di rete troveranno questa guida essenziale per ridurre al minimo i ticket di supporto degli ospiti e massimizzare il ROI della loro infrastruttura wireless.
Ascolta questa guida
Visualizza trascrizione del podcast
📚 Parte della nostra serie principale: The Ultimate Guide to Captive Portals →
- Executive Summary
- Technical Deep-Dive
- The Captive Portal Detection Sequence
- The HSTS and HTTPS Redirection Conflict
- Implementation Guide
- Step 1: Walled Garden (ACL) Configuration
- Step 2: DHCP and DNS Optimization
- Step 3: SSL/TLS Certificate Management
- Best Practices
- 1. Optimize Walled Garden Rules for Social Logins
- 2. Transition to Profile-Based Authentication and OpenRoaming
- 3. Ensure Compliance with Regulatory Frameworks
- Troubleshooting & Risk Mitigation
- Client-Side Diagnostic and Resolution Checklist
- Operator-Side Infrastructure Troubleshooting
- ROI & Business Impact
- Reduction in Support Overhead and Guest Friction
- Maximizing Data Capture and Marketing ROI
- Unlocking Retail Media and Monetization Opportunities
- References

Executive Summary
For modern enterprise venues, guest wireless networks are no longer a simple amenity; they represent a critical touchpoint for customer engagement, operational intelligence, and brand positioning. However, the business value of these networks depends entirely on the reliability of the initial connection experience. When a guest connects to a network and the captive portal login page fails to appear, the venue immediately suffers from increased front-of-house friction, a surge in support tickets, and lost opportunities for data capture.
At the core of these failures is a fundamental tension between secure web standards and the network-level interception techniques historically used by captive portals. Modern web browsers and operating systems are designed to detect and block unauthorized traffic redirection to protect users from man-in-the-middle (MitM) attacks. By understanding the precise HTTP and DNS redirection sequences, the impact of secure protocols like HTTP Strict Transport Security (HSTS), and the client-side settings that disrupt these mechanisms, IT organizations can implement robust configurations that ensure seamless onboarding.
This guide details how Purple's cloud-managed Guest WiFi platform addresses these challenges to deliver high-availability redirection across all consumer operating systems, minimizing venue support overhead and maximizing the return on wireless infrastructure investments. Whether you are deploying in Hospitality , Retail , Healthcare , or Transport environments, the principles and checklists in this guide apply universally.
Technical Deep-Dive
To effectively troubleshoot captive portal failures, network administrators must understand the exact sequence of events that occurs when a client device connects to an open or pre-shared key (PSK) guest wireless network. Modern operating systems — including Apple iOS/macOS, Google Android, Microsoft Windows, and Linux distributions — do not wait for a user to open a browser to test for internet connectivity. Instead, they execute an automated active probing mechanism immediately upon completing the association and DHCP phases.
The Captive Portal Detection Sequence
The connection and verification process follows a highly structured sequence:
| Step | Action | Technical Description | Expected Success Indicator |
|---|---|---|---|
| 1 | Association | Client associates with the Guest SSID at Layer 2. | Successful 802.11 association frame exchange. |
| 2 | IP Provisioning | DHCP server assigns an IP address, subnet mask, gateway, and local DNS server. | DHCP ACK packet received by the client. |
| 3 | Active Probing | OS background service sends an unencrypted HTTP GET request to a vendor-specific canary URL. | HTTP 200 OK (Apple/Windows) or HTTP 204 No Content (Google). |
| 4 | Interception & Redirect | Wireless gateway/controller intercepts the HTTP probe and returns an HTTP 302/303 redirect pointing to the portal. | HTTP 302 Redirect to the captive portal FQDN. |
| 5 | Portal Rendering | Captive Portal Assistant (CPA) browser engine opens and renders the splash page. | Successful rendering of the login interface. |
+--------+ +------------+ +------------+ +-------------------+
| Client | | AP/Gateway | | DNS Server | | Captive Portal IP |
+--------+ +------------+ +------------+ +-------------------+
| | | |
|--- 1. DHCP Request --->| | |
|<-- 2. DHCP Ack --------| | |
| (IP & DNS Assigned) | | |
|--- 3. DNS Query ------>|------------------------->| |
| (canary URL) | | |
|<-- 4. DNS Response ----|<-------------------------| |
| (Resolved IP) | | |
|--- 5. HTTP GET ------->| | |
| (canary URL) | | |
|<-- 6. HTTP 302 --------| | |
| (Redirect to Portal)| | |
|--- 7. DNS Query ------>|------------------------->| |
| (Portal FQDN) | | |
|<-- 8. DNS Response ----|<-------------------------| |
| (Portal IP) | | |
|--- 9. HTTP/S GET ------>-------------------------------------------------------->|
| (Render Splash Page)| | |
|<-- 10. Render Page <-------------------------------------------------------------||

Each operating system utilizes a distinct set of canary URLs and expected responses to determine network status. Apple (iOS/macOS) probes http://captive.apple.com/hotspot-detect.html expecting an HTML document containing only the word Success in both the title and body. Google (Android/ChromeOS) probes http://connectivitycheck.gstatic.com/generate_204 expecting an HTTP status code 204 No Content with an empty body. Microsoft (Windows 10/11) probes http://www.msftconnecttest.com/connecttest.txt expecting a plain text response of Microsoft Connect Test.
If the device receives the expected response, it concludes that the network has direct, unhindered internet access. If the response is modified — such as receiving an HTTP 302 redirect — the operating system's Captive Portal Assistant (CPA) immediately launches a dedicated, sandboxed browser window to display the redirect target: the captive portal login page.
The HSTS and HTTPS Redirection Conflict
The historical method of captive portal redirection relies on DNS hijacking or HTTP interception. When an unauthenticated user attempts to browse to any website, the gateway intercepts the TCP port 80 (HTTP) or port 443 (HTTPS) traffic and responds on behalf of the destination server, injecting an HTTP 302 redirect. While this worked seamlessly in an era of unencrypted HTTP web browsing, it introduces severe security and operational challenges in modern HTTPS-dominated environments.
The primary obstacle is HTTP Strict Transport Security (HSTS), a web security policy mechanism specified in RFC 6797. HSTS forces web browsers to interact with websites using only secure HTTPS connections. When a browser attempts to connect to an HSTS-enabled domain — such as Google, Facebook, or banking portals — it strictly forbids any unencrypted communication and enforces strict SSL/TLS certificate validation.
If a captive portal gateway attempts to intercept an HTTPS request to an HSTS domain, it must present its own SSL certificate or a spoofed certificate to the client. Because the gateway's certificate does not match the requested domain name, the client's browser detects a man-in-the-middle attack and displays a non-bypassable security warning (e.g., NET::ERR_CERT_COMMON_NAME_INVALID or Your connection is not private). The browser blocks the redirect entirely, preventing the captive portal page from loading and leaving the user with a broken connection.
To mitigate this, modern enterprise wireless networks utilize two advanced mechanisms. First, exempting OS probes ensures that the unencrypted HTTP probes sent by operating systems are never subjected to HTTPS interception; the gateway must allow the unencrypted HTTP probe to be redirected using a standard HTTP 302 response to the secure, fully-qualified domain name (FQDN) of the captive portal. Second, RFC 8910 (Captive Portal API) defines a mechanism where DHCP options (Option 114) or IPv6 Router Advertisements inform the client device of the exact URL of the captive portal API endpoint. Instead of relying on brute-force DNS hijacking or HTTP redirection, compatible client devices query this API directly to obtain the portal URL and network status, bypassing the HSTS conflict entirely.
Implementation Guide
Deploying a reliable captive portal requires careful coordination between the physical wireless infrastructure (Access Points, Controllers, Gateways) and the cloud-based portal platform. This section provides a vendor-neutral, step-by-step implementation guide to ensure robust redirection compatibility across enterprise networks, referencing standard configurations found in controllers from Cisco, Aruba, and Ruckus. For related access control architecture, see the guide on How to Implement 802.1X Authentication with Cloud RADIUS .
Step 1: Walled Garden (ACL) Configuration
A Walled Garden or Access Control List (ACL) defines the specific external domains, IP addresses, or subnets that an unauthenticated guest device is permitted to access before logging in. If the walled garden is configured incorrectly, the client device will be unable to resolve or load the captive portal assets, resulting in a blank screen or a timeout error.
To ensure seamless operation with Purple's platform, the walled garden must include the following components. Portal FQDNs are the fully-qualified domain names of the splash page hosting servers (e.g., *.purple.ai or regional variants). Identity Providers (IdPs) must be included if the portal supports social login — the walled garden must include the extensive list of domains used by these providers for OAuth authentication. Content Delivery Networks (CDNs) hosting CSS, JavaScript, fonts, or images used on the splash page must also be included.
Many modern controllers support wildcard domain names (e.g., *.purple.ai) in their walled garden configurations. The controller dynamically snoops DNS queries from unauthenticated clients; when a client queries a domain matching the wildcard, the controller temporarily adds the returned IP address to the client's pre-authentication allowlist. For legacy controllers that only support static IP addresses, administrators must configure a local DNS proxy or regularly update the static IP blocks associated with the cloud portal.
Step 2: DHCP and DNS Optimization
Because captive portal detection relies heavily on the initial network handshake, DHCP and DNS configurations must be optimized for high-density, transient environments. In high-footfall venues such as retail malls, transit hubs, or stadiums, IP address exhaustion is a common cause of captive portal failure. If the DHCP lease time is set too long (e.g., 24 hours), the IP pool will quickly deplete, preventing new guests from obtaining an IP address. For guest networks, the DHCP lease time should be configured between 15 to 30 minutes (900 to 1800 seconds).
Guest clients must be assigned a reliable, fast DNS server capable of resolving both public domains and the local captive portal FQDN. It is highly recommended to use enterprise-grade public DNS resolvers such as Cloudflare 1.1.1.1 or Google 8.8.8.8, or a local high-performance DNS forwarder. Critically, the wireless gateway must allow unauthenticated clients to perform DNS resolution. If a firewall rule blocks port 53 (UDP/TCP) traffic for pre-authenticated users, the client's OS will be unable to resolve the canary URLs, and the captive portal assistant will never launch.
Step 3: SSL/TLS Certificate Management
When a guest device is redirected to the captive portal, the browser establishes a secure HTTPS connection to the portal's FQDN. To prevent certificate warning screens, the captive portal must be secured with a valid, publicly-trusted SSL/TLS certificate. Self-signed certificates will be immediately blocked by modern mobile operating systems, preventing the captive portal assistant from rendering the page. If the redirection mechanism requires the client to communicate with the local gateway IP (e.g., for local MAC-to-IP binding), the gateway must have a valid certificate matching its local FQDN, and this FQDN must be resolvable by the guest DNS.
Best Practices
To maintain a high-performing guest wireless network that minimizes support tickets and maximizes user satisfaction, network operators should adhere to the following industry standards and best practices.
1. Optimize Walled Garden Rules for Social Logins
When utilizing social login options to capture user profiles, the walled garden must be meticulously maintained. Social media platforms frequently update their authentication subdomains and CDN IP ranges. If a single required domain is missing from the walled garden, the social login popup will fail to load or hang indefinitely.
| Provider | Essential Walled Garden Domains |
|---|---|
accounts.google.com, ssl.gstatic.com, fonts.gstatic.com, lh3.googleusercontent.com |
|
facebook.com, *.facebook.com, *.fbcdn.net, m.facebook.com |
|
| Apple | appleid.apple.com, appleid.cdn-apple.com, gsa.apple.com |
2. Transition to Profile-Based Authentication and OpenRoaming
While captive portals are excellent for initial data capture and terms of service acceptance, repeating the login process on every visit introduces user friction. Modern enterprise networks are increasingly transitioning to profile-based authentication and Passpoint (Hotspot 2.0) technologies, such as OpenRoaming.
Under the Purple Connect license, Purple acts as a free identity provider for OpenRoaming services. Passpoint allows a guest to install a secure profile on their device during their first visit. Upon subsequent visits to any participating venue worldwide, the device automatically and securely associates with the network at Layer 2 using WPA3-Enterprise and 802.1X authentication, completely bypassing the captive portal. This delivers a seamless, cellular-like roaming experience while maintaining secure, encrypted data transmission. For a detailed implementation guide, see How to Implement 802.1X Authentication with Cloud RADIUS .
3. Ensure Compliance with Regulatory Frameworks
Guest WiFi deployments must be designed with strict adherence to global data privacy and security standards. For GDPR / CCPA Compliance, the captive portal must present clear, unambiguous terms of service and privacy policies. Consent for marketing communications must be actively opted-in (not pre-checked), and users must have a straightforward mechanism to request data deletion. For PCI DSS Compliance, if the guest network co-exists on the same physical infrastructure as the venue's Point of Sale (POS) systems, strict logical segmentation must be enforced. The guest VLAN must be completely isolated from the production and payment card VLANs using firewall rules and ACLs. For wireless security, implement WPA3-Transition Mode to allow older devices to connect using WPA2-Personal while newer devices benefit from the enhanced security of WPA3, including Protected Management Frames (PMF).
Troubleshooting & Risk Mitigation
When guest wireless issues are reported, venue operations and front-of-house staff require a clear, structured diagnostic sequence to identify and resolve the root cause. Captive portal failures typically fall into two categories: client-side misconfigurations and operator-side infrastructure issues.

Client-Side Diagnostic and Resolution Checklist
For front-of-house staff assisting guests, work through these steps in order.
1. Disable Active VPNs. Virtual Private Networks establish an encrypted tunnel from the client device directly to a remote server. Because the VPN client attempts to encrypt and route all traffic immediately upon network connection, it bypasses the local gateway's DNS hijack and HTTP redirection rules. The guest must temporarily disable their VPN to complete the captive portal login, after which the VPN can be safely re-enabled.
2. Turn Off Private/Randomized MAC Addresses. Modern operating systems (iOS 14+ and Android 10+) enable Private Wi-Fi Address or MAC Randomization by default to prevent tracking. While beneficial for privacy, this feature causes the device to present a different MAC address to the network on subsequent connections or after a short period of inactivity. This breaks MAC-based session persistence, forcing the guest to re-authenticate repeatedly. Instruct the guest to disable Private Address for the venue's SSID in their device's wireless settings.
3. Bypass Secure DNS (DoH/DoT). If the guest has configured a custom DNS server or uses DNS-over-HTTPS (DoH) or DNS-over-TLS (DoT) in their browser settings, the browser will refuse to accept the local gateway's hijacked DNS responses. The user must temporarily disable secure DNS in their browser settings or clear their device's DNS cache to allow the local redirect to function.
4. Force an Unencrypted HTTP Connection (NeverSSL). If the captive portal assistant fails to launch automatically, the guest's browser may be stuck trying to load an HTTPS page. Instruct the guest to open a standard browser window and navigate to http://neverssl.com. Because this website is explicitly designed to never use SSL/TLS, the gateway can intercept the HTTP request and successfully inject the HTTP 302 redirect to the guest internet login screen.
5. Forget and Rejoin the Network. If a previous authentication session was terminated abnormally, the client device may hold stale DHCP or ARP cache data. Forgetting the network in the wireless settings and reconnecting forces a clean DHCP handshake and restarts the captive portal detection sequence.
Operator-Side Infrastructure Troubleshooting
For network administrators investigating systemic issues where multiple guests report portal failures, the following checks should be performed. Monitor DHCP Pool Utilization by inspecting the DHCP scope on the local gateway or router; if the pool is 100% utilized, reduce the lease time to 5-10 minutes to rapidly reclaim IP addresses from departed guests. Verify DNS Redirection Rules by performing a packet capture (PCAP) on the gateway interface to confirm that unauthenticated clients are successfully sending DNS queries to port 53 and receiving responses. Audit Walled Garden Latency to ensure that the walled garden is optimized and that DNS resolution for walled garden domains is caching correctly on the controller. Finally, check Certificate Expiration to ensure that the SSL/TLS certificate installed on the wireless controller or gateway is valid, unexpired, and signed by a trusted Certificate Authority (CA).
ROI & Business Impact
Investing in a robust, cloud-managed captive portal platform like Purple yields measurable financial and operational returns for enterprise venues. By systematically resolving captive portal login issues, organizations directly impact both the top and bottom lines.
Reduction in Support Overhead and Guest Friction
For hospitality and retail venues, front-of-house staff frequently spend valuable time troubleshooting guest WiFi connectivity. A high captive portal failure rate leads to increased guest frustration and negative online reviews, a high volume of low-complexity support tickets escalated to the IT team, and operational inefficiencies as front-of-house staff are distracted from their primary duties. By implementing Purple's robust, cross-platform compatible redirection mechanism, venues typically experience a 50% to 70% reduction in WiFi-related support complaints.
Maximizing Data Capture and Marketing ROI
A captive portal is the primary gateway for capturing valuable first-party customer data, including email addresses, phone numbers, and social profiles. When a captive portal fails to load, the venue loses the opportunity to register that guest. With a functional portal, venues can achieve opt-in rates of over 60% for marketing communications, rapidly growing their customer CRM database. By integrating guest authentication with WiFi Analytics , venue operators gain deep insights into visitor behavior, including dwell times, return rates, and footfall patterns across different zones.
Unlocking Retail Media and Monetization Opportunities
For large-scale venues like shopping malls, stadiums, and exhibition centers, the captive portal represents premium digital real estate. By utilizing the splash page and post-login redirect screens, operators can tap into the rapidly growing Retail Media market. Display highly targeted, location-aware advertisements to guests at the exact moment they connect, or sell sponsorship packages to brands, turning a traditional IT cost center into a direct revenue-generating asset.
References
[1] Wikipedia Contributors. "Captive Portal." Wikipedia, The Free Encyclopedia. https://en.wikipedia.org/wiki/Captive_portal
[2] IETF RFC 6797. "HTTP Strict Transport Security (HSTS)." Internet Engineering Task Force. https://datatracker.ietf.org/doc/html/rfc6797
[3] IETF RFC 8910. "Captive-Portal Identification in DHCP and Router Advertisements." Internet Engineering Task Force. https://datatracker.ietf.org/doc/html/rfc8910
[4] Wireless Broadband Alliance. "OpenRoaming." WBA. https://wballiance.com/openroaming/
[5] NeverSSL. "NeverSSL: Helping you get online." NeverSSL. http://neverssl.com/
Definizioni chiave
Captive Portal
Una pagina web presentata agli utenti appena connessi a una rete ospite prima che venga concesso loro un accesso a internet più ampio. Il portale richiede in genere l'autenticazione (e-mail, social login o codice voucher), l'accettazione dei termini di servizio o entrambi. È il meccanismo principale per l'acquisizione dei dati degli ospiti nelle distribuzioni WiFi aziendali.
I team IT riscontrano nei captive portal il primo punto di errore in caso di reclami sul WiFi degli ospiti. Comprendere l'architettura tecnica del portale è essenziale per diagnosticare il motivo per cui la pagina di login non viene visualizzata.
DNS Hijacking
Una tecnica utilizzata dai gateway dei captive portal in cui il server DNS locale restituisce l'indirizzo IP del server del captive portal in risposta a tutte le query DNS provenienti da client non autenticati, indipendentemente dal dominio effettivamente richiesto. Ciò costringe il browser del client a connettersi al portale anziché alla destinazione prevista.
Il DNS hijacking è il meccanismo principale alla base della maggior parte delle implementazioni di reindirizzamento dei captive portal. È efficace per il traffico HTTP, ma viene bloccato dalle configurazioni DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) sui dispositivi client.
HTTP Strict Transport Security (HSTS)
Un meccanismo di politica di sicurezza web (RFC 6797) che istruisce i browser a comunicare con un sito web solo tramite HTTPS e a rifiutare qualsiasi connessione HTTP o connessione con certificati SSL non validi. Una volta che un browser ha ricevuto un'intestazione HSTS da un dominio, applica questa politica per una durata specificata (max-age), anche se l'utente digita manualmente un URL HTTP.
L'HSTS è il motivo principale per cui i reindirizzamenti dei captive portal falliscono sui dispositivi moderni. Quando un gateway tenta di intercettare una richiesta HTTPS verso un dominio abilitato per HSTS, il browser rileva la mancata corrispondenza del certificato e blocca il reindirizzamento, impedendo il caricamento del portale.
Captive Portal Assistant (CPA)
Un processo browser leggero e in modalità sandbox integrato nei sistemi operativi moderni (CNA di Apple, CPA di Android, NCSI di Windows) che si avvia automaticamente quando il sistema operativo rileva di trovarsi dietro un captive portal. Il CPA esegue il rendering della splash page in un ambiente limitato che impedisce al portale di accedere alle credenziali del dispositivo o alla memoria persistente.
Il CPA è ciò che fa apparire automaticamente la pagina di login sulla maggior parte dei dispositivi. Se il CPA non si avvia (ad esempio a causa di una VPN o del DoH), l'ospite deve navigare manualmente verso l'URL del portale.
Walled Garden
Una lista di controllo degli accessi (ACL) di pre-autenticazione che definisce gli specifici domini esterni, indirizzi IP o sottoreti a cui i dispositivi degli ospiti non autenticati possono accedere prima di completare il login al captive portal. Le risorse esterne al walled garden sono bloccate fino al completamento dell'autenticazione.
Un walled garden configurato in modo errato è una delle cause più comuni di errore del captive portal, in particolare per i flussi di social login che richiedono l'accesso a più domini OAuth di terze parti.
MAC Address Randomization
Una funzione di privacy nei moderni sistemi operativi mobili (iOS 14+, Android 10+) che fa sì che il dispositivo presenti un indirizzo MAC generato casualmente a ciascuna rete WiFi a cui si connette, anziché il suo indirizzo MAC assegnato dall'hardware. L'indirizzo randomizzato può anche cambiare periodicamente durante la connessione.
La randomizzazione del MAC interrompe la persistenza della sessione del captive portal perché il gateway utilizza l'indirizzo MAC per tracciare i client autenticati. Quando il MAC cambia, il gateway tratta il dispositivo come un nuovo client non autenticato, forzando una nuova autenticazione.
RFC 8910 (Captive Portal API)
Uno standard IETF che definisce un meccanismo per consentire alle reti di informare i dispositivi client della presenza e dell'URL di un captive portal utilizzando l'opzione DHCP 114 (per IPv4) o le opzioni IPv6 Router Advertisement. I dispositivi compatibili interrogano direttamente l'endpoint API pubblicizzato per determinare lo stato della propria rete e ottenere l'URL del portale, eliminando la necessità di DNS hijacking.
La RFC 8910 è l'alternativa moderna e conforme agli standard al DNS hijacking per il rilevamento dei captive portal. Risolve il conflitto HSTS comunicando l'URL del portale a livello di rete anziché tentare di intercettare il traffico HTTP/HTTPS.
DNS-over-HTTPS (DoH)
Un protocollo che crittografa le query DNS inviandole tramite una connessione HTTPS a un risolutore attendibile (come Cloudflare 1.1.1.1 o Google 8.8.8.8), anziché inviarle come pacchetti UDP in chiaro al server DNS assegnato alla rete. Ciò impedisce al gateway locale di intercettare o dirottare le risposte DNS.
Il DoH è sempre più abilitato per impostazione predefinita nei browser moderni (Chrome, Firefox, Edge) e nei sistemi operativi. Quando il DoH è attivo, il meccanismo di DNS hijacking del captive portal viene aggirato e la schermata di login a internet per gli ospiti non apparirà automaticamente.
NeverSSL
Un sito web di utilità pubblica (http://neverssl.com) esplicitamente progettato per non utilizzare mai la crittografia SSL/TLS. Funge da trigger manuale affidabile per i reindirizzamenti del captive portal perché il gateway può sempre intercettare la sua richiesta HTTP non crittografata e inserire un reindirizzamento 302 alla pagina di login del portale.
NeverSSL è la soluzione manuale consigliata quando il dispositivo di un ospite non riesce a visualizzare automaticamente la pagina di login del captive portal. Il personale di reception dovrebbe essere formato a indirizzare gli ospiti a questo URL come primo passo per la risoluzione del problema.
OpenRoaming (Passpoint/Hotspot 2.0)
Uno standard globale di roaming WiFi sviluppato dalla Wireless Broadband Alliance (WBA) che consente ai dispositivi di autenticarsi automaticamente e in modo sicuro alle reti WiFi partecipanti utilizzando un profilo di credenziali preinstallato, senza richiedere l'interazione manuale con il captive portal. L'autenticazione utilizza i protocolli WPA3-Enterprise e 802.1X.
OpenRoaming rappresenta l'evoluzione a lungo termine oltre i captive portal per il WiFi ospiti aziendale. Con la licenza Connect di Purple, Purple funge da provider di identità gratuito per OpenRoaming, consentendo agli ospiti che ritornano di bypassare completamente il captive portal nelle visite successive.
Esempi pratici
Un hotel in centro città da 350 camere ha distribuito una rete WiFi per gli ospiti gestita da Purple su tutti i piani e nelle aree comuni. La reception riceve 15-20 reclami al giorno da parte di ospiti la cui pagina di accesso del Captive Portal non si carica. L'hotel utilizza controller wireless Cisco Catalyst 9800 e un router Cisco ISR 4331. Un'indagine iniziale mostra che il problema è più comune su iPhone con iOS 17 e dispositivi Android 13. In che modo l'architetto di rete dovrebbe diagnosticare e risolvere questo problema?
Iniziare con una diagnostica strutturata su quattro livelli. Livello 1 (DHCP): accedere al Cisco ISR 4331 ed eseguire show ip dhcp pool e show ip dhcp binding. Verificare il numero totale di binding attivi rispetto alle dimensioni del pool. Se l'utilizzo supera l'85%, il pool è quasi esaurito. Ridurre il tempo di lease dal valore predefinito di 1 giorno a 1800 secondi (30 minuti) utilizzando ip dhcp pool GUEST_WIFI e lease 0 0 30. Livello 2 (DNS): sul Catalyst 9800, verificare che l'ACL di pre-autenticazione (utilizzata per l'SSID del Captive Portal) consenta il traffico sulle porte UDP e TCP 53 verso i server DNS assegnati. Eseguire un'acquisizione di pacchetti sull'interfaccia VLAN degli ospiti per confermare che le query DNS ricevano risposta. Livello 3 (Walled Garden): accedere alla GUI del Catalyst 9800 in Configuration > Tags & Profiles > Policy. Ispezionare l'elenco dei filtri URL associato all'SSID degli ospiti. Confermare che siano inclusi *.purple.ai, accounts.google.com, *.facebook.com, appleid.apple.com e tutti i domini CDN associati. Abilitare il DNS snooping sul filtro URL per consentire la risoluzione dei domini con caratteri jolly. Livello 4 (Specifico per iOS): i dispositivi iOS 17 utilizzano captive.apple.com/hotspot-detect.html come URL di probe. Confermare che il Catalyst 9800 stia intercettando questa richiesta HTTP e restituendo un reindirizzamento HTTP 302 all'FQDN del portale Purple (ad es. https://portal.purple.ai). Verificare che il certificato del portale Purple sia valido e non autofirmato. Se il reindirizzamento punta all'IP locale del controller anziché all'FQDN del portale cloud, aggiornare l'URL di reindirizzamento esterno nella configurazione dell'SSID.
Una catena di vendita al dettaglio nazionale con 120 negozi ha distribuito il WiFi per gli ospiti utilizzando AP Aruba Instant gestiti tramite Aruba Central. Il team di marketing segnala che l'opzione di accesso social 'Accedi con Google' sul Captive Portal non funziona per circa il 30% degli ospiti. L'opzione di accesso tramite email standard funziona correttamente. Il problema si presenta in modo intermittente ed è più comune nei negozi che hanno aggiornato di recente il firmware Aruba. In che modo il team di rete e IT dovrebbe indagare su questo problema?
Il fallimento intermittente del social login a fronte del corretto funzionamento dell'accesso tramite email è un classico problema di copertura dei domini del walled garden, probabilmente aggravato da un aggiornamento del firmware che ha ripristinato o modificato l'ACL di pre-autenticazione. Procedere come segue. Passaggio 1 — Riprodurre e acquisire: in un negozio interessato, connettere un dispositivo di test all'SSID degli ospiti e tentare un accesso con Google. Aprire gli strumenti di sviluppo del browser (F12 > scheda Rete) prima di fare clic su 'Accedi con Google'. Notare eventuali richieste non riuscite, che verranno visualizzate come voci rosse con codici di stato come ERR_CONNECTION_REFUSED o ERR_NAME_NOT_RESOLVED. Questi domini non riusciti sono le voci mancanti nel walled garden. Passaggio 2 — Controllare il Walled Garden di Aruba Central: accedere ad Aruba Central e passare alla configurazione dell'SSID per la rete ospiti. Esaminare le voci del Walled Garden / Whitelist. Il flusso OAuth di Google richiede come minimo: accounts.google.com, ssl.gstatic.com, fonts.gstatic.com, www.gstatic.com, lh3.googleusercontent.com e oauth2.googleapis.com. Dopo un aggiornamento del firmware, Aruba Central potrebbe essere tornato a una configurazione basata su modelli che escludeva alcune di queste voci. Passaggio 3 — Abilitare il DNS Snooping: in Aruba Central, abilitare il whitelist basato su DNS per l'SSID degli ospiti. Ciò consente all'AP di risolvere dinamicamente e inserire nella whitelist gli indirizzi IP restituiti per i domini che corrispondono ai pattern con caratteri jolly configurati (ad es. *.google.com, *.gstatic.com). Questo sistema è più resiliente rispetto alla whitelist di IP statici, poiché gli IP della CDN di Google cambiano frequentemente. Passaggio 4 — Convalidare e distribuire: testare la correzione nel negozio pilota, confermare che la percentuale di successo dell'accesso con Google raggiunga il 95%+, quindi applicare la configurazione aggiornata a tutti i 120 negozi tramite la distribuzione dei criteri di gruppo di Aruba Central.
Domande di esercitazione
Q1. Un centro congressi che ospita un evento con 2.000 delegati segnala che il 40% dei partecipanti non riesce a visualizzare la pagina di login del WiFi per gli ospiti sui propri dispositivi. L'evento è iniziato 30 minuti fa. L'infrastruttura wireless utilizza controller Ruckus SmartZone. Qual è la causa principale più probabile e qual è la risoluzione più rapida?
Suggerimento: Considera la portata dell'evento (2.000 connessioni simultanee) e il tempo trascorso dall'inizio dell'evento. Pensa a quale risorsa di rete ha la maggiore probabilità di esaurirsi nei primi 30 minuti di un evento ad alta densità.
Visualizza risposta modello
La causa principale più probabile è l'esaurimento del pool DHCP. Con 2.000 delegati che tentano di connettersi simultaneamente entro 30 minuti, il pool di indirizzi DHCP per la VLAN ospiti è quasi certamente esaurito, in particolare se il tempo di lease era impostato sul valore predefinito di 8 o 24 ore. I delegati che non riescono a ottenere un indirizzo IP non vedranno alcuna pagina di login perché la sequenza di rilevamento del Captive Portal non può iniziare senza l'assegnazione di un IP valido. La risoluzione più rapida consiste nell'accedere al controller Ruckus SmartZone, navigare nella configurazione del server DHCP per la VLAN ospiti e ridurre il tempo di lease a 5-10 minuti per forzare il recupero rapido degli indirizzi dai delegati che se ne sono già andati o si sono disconnessi. Inoltre, verificare se la dimensione del pool DHCP è sufficiente per il numero di utenti simultanei previsto: un pool di 254 indirizzi (subnet /24) non è sufficiente per 2.000 delegati. Espandere il pool a una subnet /22 o /21 (1.022 o 2.046 indirizzi) se possibile. Come controllo secondario, verificare che l'ACL di pre-autenticazione sullo SmartZone consenta le query DNS (porta 53) da parte dei client non autenticati, poiché un traffico DNS ad alto volume può talvolta attivare regole di limitazione della frequenza.
Q2. Il responsabile IT di un hotel riceve un reclamo da un ospite che soggiorna nella camera 412. L'ospite dichiara che la pagina di login del WiFi è apparsa brevemente, ha inserito il proprio indirizzo email e accettato i termini, ma ora gli viene chiesto di accedere nuovamente ogni 10-15 minuti. Altri ospiti sullo stesso piano non segnalano questo problema. L'ospite utilizza un iPhone 15 con iOS 17. Qual è la causa e la risoluzione più probabile?
Suggerimento: Il problema è specifico di un singolo dispositivo e comporta ripetute riautenticazioni a brevi intervalli. Considera cosa fa iOS 17 per impostazione predefinita con gli indirizzi MAC sulle reti WiFi e come il gateway wireless dell'hotel tiene traccia delle sessioni autenticate.
Visualizza risposta modello
La causa più probabile è la randomizzazione dell'indirizzo MAC. iOS 14 e versioni successive abilitano l'opzione Indirizzo Wi-Fi privato per impostazione predefinita, il che fa sì che l'iPhone presenti un indirizzo MAC generato casualmente a ciascuna rete. In iOS 17, il MAC randomizzato può ruotare periodicamente (circa ogni 24 ore) o a ogni nuova associazione di rete. Il gateway wireless dell'hotel tiene traccia delle sessioni degli ospiti autenticati tramite indirizzo MAC; quando l'indirizzo MAC cambia, il gateway tratta il dispositivo come un nuovo client non autenticato e blocca l'accesso a Internet, attivando nuovamente il Captive Portal. La risoluzione per l'ospite consiste nel disattivare l'Indirizzo privato per l'SSID dell'hotel: andare su Impostazioni > Wi-Fi, toccare l'icona (i) accanto all'SSID dell'hotel e disattivare Indirizzo Wi-Fi privato. Il dispositivo si riconnetterà con il suo indirizzo MAC hardware e la sessione persisterà senza ripetute riautenticazioni. Come mitigazione a lungo termine lato operatore, l'hotel dovrebbe considerare l'implementazione della persistenza della sessione basata sull'indirizzo IP (oltre al MAC) o il passaggio a OpenRoaming/Passpoint per gli ospiti che ritornano, eliminando del tutto il problema della riautenticazione sul Captive Portal.
Q3. Il team IT di una catena di negozi ha configurato un nuovo Captive Portal utilizzando Purple. Il walled garden è stato impostato con il dominio del portale e i domini dei principali provider di social login. Durante i test, la pagina del portale si carica correttamente e l'opzione di login via email funziona, ma quando un tester fa clic su 'Accedi con Google', viene visualizzato brevemente un popup di accesso di Google che poi si chiude senza completare l'autenticazione. Il tester utilizza un Samsung Galaxy S23 con Android 13 e browser Chrome. Cosa dovrebbe verificare il team IT?
Suggerimento: Il popup di Google appare ma si chiude senza completarsi: questo significa che il reindirizzamento OAuth iniziale a Google funziona, ma qualcosa fallisce durante il callback di autenticazione o lo scambio di token. Considera quali domini sono coinvolti nel flusso completo di Google OAuth 2.0 oltre a accounts.google.com.
Visualizza risposta modello
Il sintomo — il popup di Google che appare ma si chiude senza completarsi — indica che il reindirizzamento OAuth iniziale a Google ha successo (accounts.google.com è nel walled garden), ma uno o più domini successivi di callback OAuth o di scambio di token vengono bloccati. Il flusso Google OAuth 2.0 per le applicazioni web coinvolge più domini oltre a accounts.google.com. Il team IT dovrebbe aprire Chrome DevTools sul dispositivo di test (o utilizzare un browser desktop per simulare il flusso), fare clic su Accedi con Google e osservare la scheda Network per individuare eventuali richieste non andate a buon fine. I domini mancanti più comuni includono: oauth2.googleapis.com (endpoint del token), www.googleapis.com (chiamate API), ssl.gstatic.com e fonts.gstatic.com (la CDN di Google per le risorse della pagina di accesso) e lh3.googleusercontent.com (caricamento dell'immagine del profilo, che può causare il blocco del popup). Aggiungere tutti i domini mancanti identificati al walled garden nella configurazione del controller Aruba/Cisco/Ruckus, utilizzando pattern wildcard (*.googleapis.com, *.gstatic.com) dove il controller supporta il DNS snooping. Eseguire nuovamente il test dopo ogni aggiunta per isolare il dominio bloccante specifico. Una volta che il flusso completo di Google OAuth si completa con successo, convalidare la correzione sia su dispositivi Android che iOS prima del rilascio in produzione.
Continua a leggere questa serie
Captive Portal per Ruijie: come configurarlo con Purple guest WiFi
Come il cloud guest WiFi di Purple si integra con gli access point Ruijie serie RG utilizzando l'autenticazione web e RADIUS, configurati da riga di comando, e dove trovare i passaggi esatti di configurazione.
Progettazione di Captive Portal B2B: Raccolta dei Dati del Nome Registrato e dell'Azienda
Questa guida fornisce ai responsabili IT e ai gestori di sedi un framework tecnico indipendente dal fornitore per la progettazione di Captive Portal B2B. Dettaglia come strutturare i campi di registrazione per acquisire il nome registrato e i dati aziendali, garantendo tassi di completamento elevati pur mantenendo la conformità al GDPR e creando un'intelligence a livello di account.
Architettura Captive Portal: sicurezza, reindirizzamento e best practice
Un riferimento tecnico definitivo sull'architettura enterprise del captive portal. Questa guida analizza l'isolamento della rete, il reindirizzamento DNS, l'autenticazione RADIUS e la conformità della sicurezza per i responsabili IT che implementano reti WiFi ospiti sicure e ricche di dati.