Vai al contenuto principale

Risoluzione dei problemi della rete WiFi pubblica: come risolvere i problemi "Connesso, senza Internet" e gli errori di reindirizzamento alla pagina di benvenuto

Questa guida tecnica di riferimento spiega i meccanismi alla base del rilevamento del Captive Portal e analizza in dettaglio le sei principali modalità di errore che impediscono la connessione al WiFi per gli ospiti. Offre ai responsabili IT e agli architetti di rete un framework pratico di risoluzione dei problemi per risolvere conflitti DNS, problemi di reindirizzamento HTTP e sfide legate alla randomizzazione degli indirizzi MAC.

📖 6 minuti di lettura📝 1,303 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti in questo briefing tecnico di Purple. Oggi affronteremo uno dei problemi più persistenti e meno compresi nelle reti wireless aziendali: il Captive Portal del WiFi per gli ospiti che si rifiuta di caricarsi. Ci siete già passati. Un ospite arriva nel vostro hotel, nel vostro negozio retail, nel vostro stadio o nel vostro centro congressi. Si connette alla rete WiFi. Non succede nulla. Nessuna pagina di login. Nessun accesso a internet. Solo un'icona che gira e un crescente senso di frustrazione. Per i direttori delle operazioni delle strutture e i responsabili IT, quel momento non è solo un piccolo inconveniente. Rappresenta un fallimento diretto della vostra esperienza ospite, un picco di chiamate di supporto alla reception e un'opportunità persa di raccogliere i dati di prima parte che giustificano il vostro investimento nell'infrastruttura wireless. In questo briefing analizzeremo i dettagli tecnici. Vi spiegheremo esattamente come funziona il rilevamento del Captive Portal a livello di sistema operativo, identificheremo le sei cause principali responsabili della stragrande maggioranza dei fallimenti di connessione e vi forniremo un framework di risoluzione dei problemi pratico e applicabile da consegnare oggi stesso al vostro team IT. Iniziamo con il funzionamento tecnico. La maggior parte delle persone pensa a un Captive Portal semplicemente come a una pagina di login. In realtà si tratta di un meccanismo di intercettazione del traffico a livello di rete, e questa distinzione è estremamente importante quando le cose non funzionano. Ecco la sequenza. Il dispositivo di un ospite si connette al vostro SSID per gli ospiti e riceve un indirizzo IP tramite DHCP. A quel punto, il sistema operativo non aspetta che l'utente apra un browser. In background, un servizio di sistema avvia immediatamente una richiesta HTTP GET non crittografata a un URL di probe controllato dal vendor. I dispositivi iOS e macOS interrogano captive.apple.com. I dispositivi Android interrogano connectivitycheck.gstatic.com. I dispositivi Windows interrogano msftconnecttest.com. Firefox ha il proprio probe su detectportal.firefox.com. Se la rete ha un accesso a internet aperto, questi probe restituiscono le risposte attese e il sistema operativo conclude che è tutto a posto. Ma su una rete ospiti, il vostro gateway o controller wireless intercetta quel probe HTTP prima che raggiunga internet. Invece della risposta attesa, il gateway restituisce un reindirizzamento HTTP 307 che punta alla pagina di cortesia del vostro Captive Portal. Il sistema operativo rileva il reindirizzamento imprevisto, si rende conto di trovarsi dietro a un Captive Portal e apre una finestra del browser in sandbox - spesso chiamata Captive Network Assistant - per visualizzare la pagina di login. Questo è lo scenario ideale. Ora parliamo dei sei modi in cui questo processo si interrompe. Causa principale numero uno: esaurimento del pool DHCP. Questo è il killer silenzioso negli eventi ad alta densità. Se stai gestendo una conferenza con duemila partecipanti su una subnet standard slash-24, hai 254 indirizzi IP utilizzabili. Se il tempo di lease DHCP è impostato sul valore predefinito di 24 ore, esaurirai quel pool nel giro di pochi minuti dall'apertura delle porte. Ogni tentativo di connessione successivo fallirà prima ancora che la sequenza del Captive Portal abbia inizio. La soluzione è semplice: imposta i tempi di lease DHCP per gli ospiti tra 15 e 30 minuti per gli ambienti ad alta rotazione e dimensiona le subnet in modo appropriato per il picco di utenti simultanei, non solo per il numero totale di persone. Causa principale numero due: errore di intercettazione DNS. Il reindirizzamento al Captive Portal dipende dal gateway che intercetta il probe HTTP. Ma il probe richiede prima una risoluzione DNS. Se la configurazione DNS non consente ai client non autenticati di risolvere i nomi di dominio esterni, il probe non viene mai avviato. Assicurati che la policy del firewall consenta esplicitamente le query DNS da parte di client non autenticati e verifica che l'intercettazione DNS funzioni eseguendo un packet capture su un dispositivo di test. Causa principale numero tre: walled garden incompleto. Il walled garden - chiamato anche lista di controllo degli accessi pre-autenticazione - definisce quali domini esterni possono essere raggiunti dagli ospiti non autenticati. Se la splash page del tuo portale carica risorse da una CDN che non è inclusa nel walled garden, la pagina verrà visualizzata come uno schermo vuoto. Se offri il login social tramite Google, Apple o Facebook, ogni dominio OAuth utilizzato da questi provider deve essere inserito nella whitelist. E c'è un punto critico: i provider di identità social aggiornano regolarmente i propri intervalli IP di CDN e i domini di autenticazione. Un walled garden che funzionava perfettamente sei mesi fa potrebbe essere silenziosamente non funzionante oggi. Pianifica audit trimestrali del walled garden e utilizza il wildcard domain snooping dove supportato dal tuo hardware. Su Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist, questa funzionalità è disponibile nativamente. Causa principale numero quattro: HSTS che blocca il reindirizzamento. L'HTTP Strict Transport Security, o HSTS, è una policy di sicurezza del browser che forza le connessioni a domini specifici esclusivamente tramite HTTPS. Se il dispositivo di un ospite tenta di contattare un dominio precaricato con HSTS - e questo include praticamente ogni sito web principale - e il tuo gateway tenta di intercettare quella richiesta HTTPS per reindirizzarla al portale, il browser rileva una mancata corrispondenza del certificato. Mostra quindi un avviso di sicurezza non bypassabile e blocca completamente il reindirizzamento. La soluzione corretta consiste nel non tentare mai l'intercettazione HTTPS. Il tuo gateway dovrebbe reindirizzare solo i probe canary HTTP non crittografati. La soluzione a lungo termine basata sugli standard è l'RFC 8910, che definisce l'opzione DHCP 114. Questa opzione consente al server DHCP di comunicare direttamente l'URL del Captive Portal al dispositivo client, eliminando del tutto la necessità di un reindirizzamento HTTP. iOS 14, Android 11 e versioni successive supportano questa funzione nativamente. La causa principale numero cinque: VPN attiva sul dispositivo dell'ospite. Una VPN crittografa tutto il traffico proveniente dal dispositivo e lo reindirizza attraverso un tunnel esterno prima che raggiunga il gateway. Il gateway non vede mai la sonda HTTP. La sequenza di rilevamento del Captive Portal non si attiva mai. L'ospite non vede alcuna pagina di login e non ha accesso a Internet. La soluzione per l'ospite è semplice: disattivare la VPN, connettersi al portale, quindi riattivare la VPN. Per il personale di reception, questa dovrebbe essere la prima domanda da porre quando un ospite segnala un problema di connessione. La causa principale numero sei: la randomizzazione dell'indirizzo MAC che interrompe la persistenza della sessione. I moderni dispositivi iOS e Android utilizzano di default indirizzi MAC randomizzati come funzione di privacy. Ogni volta che un dispositivo si connette a una rete, può presentare un indirizzo MAC diverso. Poiché lo stato della sessione del Captive Portal viene tracciato tramite l'indirizzo MAC, un ospite che si è autenticato un'ora fa potrebbe visualizzare nuovamente la pagina di login dopo la rotazione del MAC del proprio dispositivo. La soluzione lato ospite consiste nel disattivare l'opzione Indirizzo Privato per lo specifico SSID nelle impostazioni di rete. La soluzione lato operatore consiste nell'implementare un'autenticazione basata su profilo - come OpenRoaming tramite Passpoint e 802.1X - che autentica al Layer 2 utilizzando le credenziali anziché gli indirizzi MAC, rendendo irrilevante la randomizzazione. Parliamo ora dell'implementazione. Come si presenta in pratica una distribuzione di un Captive Portal ben configurata? Iniziate con la vostra architettura DHCP. Per qualsiasi sede che preveda più di 200 dispositivi simultanei, abbandonate la singola sottorete slash-24. Utilizzate una slash-22 o superiore e impostate i tempi di lease in base al profilo di permanenza della vostra struttura. Un hotel imposta i lease a 8 ore. Uno stadio imposta i lease a 3 ore. Un centro commerciale imposta i lease a 90 minuti. Un centro congressi imposta i lease a 30 minuti. Successivamente, convalidate il vostro walled garden prima di ogni evento importante. Le voci minime richieste sono: il nome di dominio completo del vostro portale e tutti i domini CDN associati, gli URL di rilevamento del Captive Portal per Apple, Google, Windows e Firefox, e i domini OAuth per ogni provider di social login supportato. Sulla piattaforma Purple, manteniamo e aggiorniamo automaticamente queste voci del walled garden come parte del nostro servizio gestito in cloud, eliminando l'onere della manutenzione manuale per il vostro team. Per il certificato del vostro portale, utilizzate un certificato TLS pubblicamente attendibile rilasciato da un'autorità di certificazione riconosciuta. I certificati autofirmati genereranno avvisi del browser su ogni dispositivo. Rinnovate i certificati prima della scadenza - un certificato scaduto è una delle cause più comuni di improvvisi malfunzionamenti del portale a livello di intera struttura. Un tranello che trae in inganno molti team IT: testare il portale da un dispositivo che si è autenticato in precedenza. La sessione del dispositivo è ancora attiva, quindi si bypassa completamente il portale e si conclude che tutto funziona. Testate sempre da un dispositivo in uno stato nuovo e non autenticato - o un nuovo dispositivo, o uno sul quale avete dissociato la rete e cancellato il profilo WiFi.Lasciami presentare due scenari reali che illustrano questi principi. Scenario uno: un hotel da 350 camere nel centro di Londra. La struttura utilizzava una singola sottorete slash-24 per il WiFi degli ospiti. Durante un grande convegno, sono arrivati simultaneamente 400 delegati. Nel giro di 20 minuti, il pool DHCP si è esaurito. Gli ospiti riferivano di essere connessi ma non riuscivano a raggiungere il Captive Portal o internet. La soluzione immediata è stata quella di estendere la sottorete a una slash-22, fornendo 1.022 indirizzi utilizzabili, e di ridurre il tempo di lease da 24 ore a 8 ore. La soluzione a lungo termine è stata l'implementazione del Captive Portal gestito in cloud di Purple, che monitora l'utilizzo del pool DHCP in tempo reale e avvisa il team di rete prima che si verifichi l'esaurimento. Il tasso di errore del portale è sceso quasi a zero entro 48 ore dalla modifica. Scenario due: una grande catena di vendita al dettaglio con 200 negozi. La catena utilizzava il social login tramite Google e Facebook sul proprio portale ospiti. Dopo che Google ha aggiornato la sua infrastruttura OAuth, i nuovi domini di autenticazione non erano presenti nel walled garden. Gli ospiti potevano raggiungere la pagina del portale, ma i pulsanti di social login mostravano schermate vuote. Il team IT della catena ha trascorso due giorni a diagnosticare il problema prima di identificare la lacuna nel walled garden. Una volta individuato, la correzione ha richiesto solo 10 minuti. La lezione: non inserire mai indirizzi IP hardcoded nel walled garden per i provider OAuth basati su cloud. Utilizza voci di dominio con caratteri jolly e verificale trimestralmente. Ora passiamo ad alcune domande rapide che sentiamo regolarmente dai team IT delle strutture. Perché il portale funziona su iPhone ma non sui dispositivi Android? Android utilizza connectivitycheck.gstatic.com come URL di probe. Se quel dominio è bloccato dal firewall o non è presente nel walled garden, i dispositivi Android non attiveranno mai il portale. Aggiungilo esplicitamente. Un ospite riferisce che il portale si è caricato ma non riesce ad andare online dopo aver effettuato l'accesso. Questo è quasi sempre un errore di autorizzazione RADIUS. Verifica che il server RADIUS sia raggiungibile dal controller wireless, verifica che la chiave segreta condivisa corrisponda su entrambi i lati e controlla i log di RADIUS per individuare eventuali messaggi di Access-Reject. Come gestiamo gli ospiti che continuano a essere disconnessi dopo pochi minuti? Controlla l'impostazione del timeout di inattività. Molti controller sono impostati di default su un timeout di inattività di 5 minuti, che è decisamente troppo aggressivo per i dispositivi mobili che vanno in sospensione tra un'interazione e l'altra. Imposta il timeout di inattività ad almeno 30 minuti per gli ambienti alberghieri e di vendita al dettaglio. Per riassumere i punti chiave del briefing di oggi. I problemi relativi ai Captive Portal delle reti WiFi ospiti rientrano in sei categorie: esaurimento del pool DHCP, errore di intercettazione DNS, walled garden incompleto, blocco del reindirizzamento HSTS, VPN attiva sul dispositivo client e randomizzazione dell'indirizzo MAC. Ognuno ha una soluzione specifica e testabile. Per il tuo team IT, le azioni immediate sono: verificare i tempi di lease DHCP e le dimensioni delle sottoreti, convalidare il walled garden rispetto ai domini OAuth correnti dei provider di social login e testare il portale da un dispositivo non autenticato dopo ogni modifica di configurazione.Per la tua roadmap a lungo termine, valuta OpenRoaming come successore del Captive Portal per la riautenticazione dei visitatori ricorrenti. La tecnologia è matura, gli standard sono stabiliti nell'ambito di IEEE 802.1X e WPA3-Enterprise, e Purple la rende disponibile senza costi software aggiuntivi nell'ambito del piano Connect. Purple opera in oltre 80.000 sedi e ha gestito 440 milioni di accessi solo nel 2024. Abbiamo riscontrato ogni tipo di errore descritto in questo briefing - e abbiamo sviluppato gli strumenti per prevenirli. Se desideri scoprire come l'overlay cloud di Purple si integra con la tua infrastruttura esistente Cisco Meraki, HPE Aruba, Ruckus o Juniper Mist, visita purple.ai o contatta il tuo account manager. Grazie per l'attenzione.

Sintesi per la Direzione

header_image.png

Un ospite si connette al tuo WiFi, ma la pagina di login non si carica. Viene visualizzato l'avviso "Connesso, senza internet" e l'utente desiste. Per i Venue Operations Director e gli IT Manager, questo fallimento rappresenta un degrado diretto dell'esperienza degli ospiti, un aumento dei ticket di supporto e un'opportunità persa per raccogliere dati di prima parte che giustificano l'investimento nell'infrastruttura wireless.

Questa guida spiega esattamente come funziona il rilevamento del Captive Portal a livello di sistema operativo e identifica le sei cause principali responsabili della maggior parte dei problemi di connessione. Fornisce un quadro di risoluzione dei problemi pratico e indipendente dal fornitore per risolvere l'esaurimento del DHCP, i problemi di intercettazione DNS, i walled garden incompleti, i reindirizzamenti HSTS bloccati, i conflitti VPN attivi e i problemi di randomizzazione degli indirizzi MAC.

Approfondimento Tecnico: Come Funziona Veramente il Rilevamento del Captive Portal

Per risolvere i problemi di un captive portal, occorre innanzitutto capire cosa fa effettivamente un captive portal a livello di rete. Non si tratta semplicemente di una pagina di login; è un meccanismo di intercettazione del traffico a livello di rete.

Quando un dispositivo ospite si associa a un SSID ospite, riceve un indirizzo IP tramite DHCP. Il sistema operativo non attende che l'utente apra un browser. Al contrario, un servizio di sistema in background invia immediatamente una richiesta HTTP GET non crittografata a un URL di probe controllato dal fornitore. I dispositivi Apple interrogano captive.apple.com. I dispositivi Android interrogano connectivitycheck.gstatic.com. I dispositivi Windows interrogano msftconnecttest.com. Firefox interroga detectportal.firefox.com.

Se la rete ha un accesso internet aperto, questi probe restituiscono la risposta HTTP 200 OK prevista e il sistema operativo decide che la connessione è attiva. Tuttavia, su una rete ospite, il gateway o controller wireless intercetta questo probe HTTP prima che possa raggiungere internet. Invece della risposta prevista, il gateway restituisce un reindirizzamento HTTP 307 Temporary Redirect che punta alla splash page del captive portal. Il sistema operativo rileva questo reindirizzamento imprevisto, comprende di trovarsi dietro un captive portal e apre una finestra del browser protetta (Captive Network Assistant) per visualizzare la pagina di login.

portal_architecture_diagram.png

Risoluzione dei Problemi e Mitigazione dei Rischi: Le 6 Cause Principali di Errore

Quando un captive portal non si carica, il problema è quasi sempre causato da una di sei specifiche modalità di errore.

root_causes_infographic.png

1. Esaurimento del pool DHCP

Questo è un problema invisibile ma letale negli eventi ad alta densità. Se stai organizzando una conferenza con 2.000 partecipanti e utilizzi una subnet standard /24, hai a disposizione solo 254 indirizzi IP utilizzabili. Se il tempo di lease del DHCP è impostato sul valore predefinito di 24 ore, il pool si esaurirà entro pochi minuti dall'apertura delle porte. Ogni tentativo di connessione successivo fallirà ancora prima che la sequenza del Captive Portal abbia inizio.

Soluzione: Imposta i tempi di lease DHCP per gli ospiti tra 15 e 30 minuti per gli ambienti ad alta rotazione. Ridimensiona le tue subnet in base al picco di utenti simultanei, non solo alla presenza media. Una subnet /22 fornisce 1.022 indirizzi utilizzabili, che è la dimensione minima consigliata per le sedi aziendali.

2. Errore di intercettazione DNS

Il reindirizzamento al Captive Portal si basa sul gateway che intercetta una richiesta di probe HTTP. Tuttavia, tale probe richiede innanzitutto una query DNS. Se la configurazione DNS non consente ai client non autenticati di risolvere i nomi di dominio esterni, il probe non verrà mai avviato.

Soluzione: Assicurati che le policy del firewall consentano esplicitamente le query DNS (porta 53) da parte dei client non autenticati. Esegui un'acquisizione di pacchetti su un dispositivo di test per verificare che l'intercettazione DNS funzioni correttamente.

3. Walled Garden incompleto

Il walled garden (la lista di controllo degli accessi pre-autenticazione) definisce quali domini esterni possono essere raggiunti dagli ospiti non autenticati. Se la splash page del tuo portale carica elementi da una CDN che non è inclusa nel walled garden, la pagina verrà visualizzata come uno schermo vuoto. Se offri accessi social tramite Google, Apple o Microsoft Entra ID, ogni singolo dominio OAuth utilizzato da questi provider deve essere inserito nella whitelist. I provider di identità social aggiornano regolarmente i propri intervalli IP di CDN e i domini di autenticazione; un walled garden che funzionava perfettamente sei mesi fa può smettere di funzionare da un giorno all'altro.

Soluzione: Pianifica audit trimestrali del walled garden. Laddove l'hardware lo consenta, utilizza lo snooping dei domini con caratteri jolly, disponibile nativamente su Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. Purple mantiene e aggiorna automaticamente queste voci del walled garden come parte del nostro servizio gestito in cloud.

4. Blocco del reindirizzamento HSTS

L'HTTP Strict Transport Security (HSTS) è una policy di sicurezza del browser che impone le connessioni a domini specifici esclusivamente tramite HTTPS. Se un dispositivo ospite tenta di comunicare con un dominio precaricato con HSTS e il gateway cerca di intercettare quella richiesta HTTPS per reindirizzarla al portale, il browser rileva una mancata corrispondenza del certificato. Ciò mostra un avviso di sicurezza inevitabile e blocca completamente il reindirizzamento.

Soluzione: Non tentare mai l'intercettazione HTTPS per il reindirizzamento iniziale. Assicurati che il tuo gateway reindirizzi solo i probe canary HTTP non crittografati. La soluzione a lungo termine basata sugli standard è RFC 8910, che definisce la DHCP Option 114. Questa opzione consente al server DHCP di pubblicizzare l'URL del Captive Portal direttamente al dispositivo client, bypassando completamente la necessità di reindirizzamento HTTP. iOS 14 e Android 11 e versioni successive supportano questa funzionalità nativamente.

5. VPN attiva sul dispositivo client

Una VPN crittografa tutto il traffico proveniente dal dispositivo e lo instrada attraverso un tunnel esterno prima che raggiunga il tuo gateway. Il tuo gateway non vede mai il probe HTTP, quindi la sequenza di rilevamento del Captive Portal non viene mai attivata. Gli ospiti non vedono né la pagina di login né internet.

Soluzione: L'ospite deve disattivare la VPN, connettersi al portale e quindi riattivare la VPN. Per il personale di contatto, chiedere se l'ospite sta utilizzando una VPN dovrebbe essere il primo passo per la risoluzione dei problemi.

6. Persistenza della sessione interrotta dalla randomizzazione dell'indirizzo MAC

I moderni dispositivi iOS e Android utilizzano indirizzi MAC randomizzati per impostazione predefinita come funzionalità di privacy. Ogni volta che un dispositivo si connette a una rete, potrebbe presentare un indirizzo MAC diverso. Poiché lo stato della sessione del Captive Portal viene tracciato tramite l'indirizzo MAC, a un ospite autenticato un'ora fa potrebbe essere presentata nuovamente la pagina di login dopo che il MAC del suo dispositivo è cambiato.

Soluzione: La soluzione per gli ospiti consiste nel disattivare l'Indirizzo Privato per il tuo SSID specifico nelle impostazioni di rete. La soluzione lato operatore consiste nell'implementare l'autenticazione basata su profilo, come Passpoint e OpenRoaming via 802.1X, che esegue l'autenticazione a Layer 2 utilizzando le credenziali anziché gli indirizzi MAC, rendendo irrilevante la randomizzazione.

Guida all'implementazione: Costruire un'architettura resiliente

La distribuzione di un Captive Portal ben configurato richiede decisioni architetturali attive.

  1. Verifica il tuo walled garden prima di ogni evento importante. Le voci minime richieste sono: l'FQDN del tuo portale e tutti i domini CDN associati, gli URL di rilevamento del Captive Portal per Apple, Google, Windows e Firefox, e i domini OAuth per ogni provider di login social supportato.
  2. Utilizza un certificato TLS pubblicamente attendibile. I certificati autofirmati genereranno avvisi del browser su ogni dispositivo. Rinnova i certificati prima che scadano; un certificato scaduto è una delle cause più comuni di improvvisi malfunzionamenti del portale a livello di intera struttura.
  3. Esegui i test da uno stato nuovo e non autenticato. Testare il portale da un dispositivo precedentemente autenticato bypasserà completamente il portale perché la sessione è ancora attiva. Esegui sempre i test da un nuovo dispositivo o da un dispositivo in cui hai rimosso la rete e cancellato il profilo WiFi.
  4. Regola i timeout di inattività. Molti controller hanno come impostazione predefinita un timeout di inattività di 5 minuti, che è estremamente aggressivo per i dispositivi mobili che entrano in modalità di sospensione tra un'interazione e l'altra. Imposta il timeout di inattività ad almeno 30 minuti per gli ambienti alberghieri e retail.

ROI e impatto aziendale

I Captive Portal sono una tecnologia matura, ma presentano alcune complessità intrinseche. L'obiettivo strategico è muoversi verso un'autenticazione fluida e sicura.

OpenRoaming, basato su Passpoint e 802.1X, aiuta gli ospiti che ritornano a connettersi in modo automatico e sicuro senza visualizzare alcuna pagina di accesso. Con il nostro piano Connect, Purple funge da identity provider gratuito per OpenRoaming. Sedi come Premier Inn e Manchester Airports Group lo stanno già utilizzando per eliminare il fastidio della ri-autenticazione per i visitatori ricorrenti, mantenendo la piena conformità GDPR e la raccolta di dati di prima parte. Riducendo gli errori di connessione, puoi aumentare direttamente il volume di dati di prima parte raccolti, incrementando la fedeltà dei clienti e l'engagement personalizzato.

Podcast di approfondimento tecnico

Ascolta un'analisi dettagliata di questi passaggi di risoluzione dei problemi dal nostro Senior Solutions Architect nel nostro approfondimento tecnico di 10 minuti.


Definizioni chiave

Captive Portal

Un meccanismo di intercettazione del traffico a livello di rete che limita l'accesso a internet finché l'utente non compie un'azione richiesta, come l'accettazione dei termini o l'inserimento delle credenziali su una pagina di benvenuto.

Il metodo principale utilizzato dalle strutture enterprise per proteggere l'accesso degli ospiti e acquisire dati di prima parte.

Walled Garden

Una lista di controllo degli accessi pre-autenticazione che definisce quali indirizzi IP esterni o domini un dispositivo ospite non autenticato è autorizzato a raggiungere.

Fondamentale per consentire l'accesso alle risorse del portale, alle CDN e ai provider di identità OAuth prima che l'utente sia completamente autenticato.

Captive Network Assistant (CNA)

Una finestra del browser in ambiente isolato e con funzionalità limitate, aperta automaticamente dal sistema operativo quando rileva un reindirizzamento al Captive Portal.

Questa è l'interfaccia in cui l'ospite visualizza e interagisce effettivamente con la pagina di login.

HSTS (HTTP Strict Transport Security)

Un meccanismo di politica di sicurezza web che aiuta a proteggere i siti web dagli attacchi man-in-the-middle, imponendo ai browser di interagire con essi esclusivamente tramite connessioni sicure HTTPS.

L'HSTS impedisce ai gateway di utilizzare l'intercettazione HTTPS per reindirizzare gli utenti a un Captive Portal, causando errori di connessione se configurato in modo errato.

DHCP Pool Exhaustion

Una condizione in cui un server DHCP ha assegnato tutti gli indirizzi IP disponibili nella sottorete configurata, impedendo ai nuovi dispositivi di accedere alla rete.

Una causa comune degli errori "Connesso, senza Internet" in ambienti ad alta densità come stadi o conferenze.

MAC Address Randomisation

Una funzione di privacy presente nei moderni sistemi operativi mobili che genera un indirizzo MAC casuale per ciascuna rete WiFi, impedendo il tracciamento tra posizioni diverse.

Questa funzione interrompe la persistenza della sessione sui Captive Portal, costringendo gli ospiti a ripetere l'autenticazione se il loro indirizzo MAC cambia.

OpenRoaming

Una federazione di reti WiFi che consente agli utenti di connettersi in modo automatico e sicuro alle reti partecipanti senza inserire credenziali o interagire con un captive portal.

Il successore strategico dei captive portal per i visitatori ricorrenti, supportato da Purple come identity provider gratuito.

RFC 8910 (DHCP Option 114)

Uno standard che consente a un server DHCP di fornire direttamente l'URL del captive portal al dispositivo client durante l'assegnazione dell'indirizzo IP.

Questo evita completamente la necessità di reindirizzamento HTTP, risolvendo i problemi causati da HSTS e migliorando la velocità di rilevamento del portale.

Esempi pratici

Un hotel di 350 camere nel centro di Londra utilizza una singola sottorete /24 per il WiFi ospiti. Durante una grande conferenza, arrivano contemporaneamente 400 delegati. Nel giro di 20 minuti, gli ospiti segnalano di essere connessi ma di non riuscire a raggiungere il portale o internet.

La soluzione immediata consiste nell'estendere la sottorete a /22, ottenendo così 1.022 indirizzi utilizzabili, e nel ridurre il tempo di lease DHCP da 24 a 8 ore. La soluzione a lungo termine consiste nell'implementare il Captive Portal gestito in cloud di Purple, che monitora l'utilizzo del pool DHCP in tempo reale e avvisa il team di rete prima che si verifichi l'esaurimento.

Commento dell'esaminatore: Questo scenario mostra un classico caso di esaurimento del pool DHCP. Una sottorete /24 fornisce solo 254 indirizzi IP utilizzabili. Aumentando le dimensioni della sottorete e riducendo il tempo di lease, la rete può gestire l'elevato ricambio di dispositivi tipico di una conferenza.

Una grande catena di vendita al dettaglio con 200 negozi utilizza il social login tramite Google e Facebook sul proprio portale ospiti. In seguito a un aggiornamento dell'infrastruttura OAuth di Google, gli ospiti riescono a raggiungere la pagina del portale, ma i pulsanti di social login mostrano una schermata vuota.

Il team IT deve identificare i nuovi domini di autenticazione utilizzati da Google e aggiungerli alla Walled Garden (la lista di controllo degli accessi pre-autenticazione). Per evitare questo problema in futuro, è consigliabile utilizzare voci di dominio con wildcard (ad esempio, *.google.com) anziché inserire indirizzi IP statici specifici, e verificare la Walled Garden trimestralmente.

Commento dell'esaminatore: Questo scenario evidenzia la fragilità delle Walled Garden statiche quando si dipende da provider OAuth esterni. I provider di identità basati su cloud modificano frequentemente i propri intervalli IP e domini CDN. Il wildcard snooping, supportato nativamente da hardware enterprise come Cisco Meraki e HPE Aruba, rappresenta il corretto approccio architetturale.

Domande di esercitazione

Q1. Il direttore IT di uno stadio segnala che durante l'intervallo migliaia di tifosi tentano di connettersi al WiFi ospiti. Il portale si carica per alcuni, ma molti segnalano che i loro dispositivi rimangono bloccati su "Acquisizione indirizzo IP" o mostrano "Connesso, senza Internet" prima ancora che appaia il portale. Qual è il difetto architetturale più probabile?

Suggerimento: Considera il volume di connessioni simultanee rispetto alle risorse disponibili sul segmento di rete.

Visualizza risposta modello

La rete sta subendo l'esaurimento del pool DHCP. La sottorete è probabilmente dimensionata con una capacità troppo ridotta (ad esempio, una /24) per il picco di carico di utenti simultanei, e il tempo di lease DHCP è probabilmente impostato su un valore troppo alto. L'approccio consigliato consiste nell'aumentare la dimensione della sottorete (ad esempio, a una /22 o /21) e ridurre il tempo di lease DHCP per adattarlo al tempo di permanenza previsto (ad esempio, 3 ore per uno stadio).

Q2. Un ospite si connette alla rete WiFi del tuo negozio retail. Il suo dispositivo mostra un avviso di sicurezza che indica "La tua connessione non è privata" quando tenta di caricare un sito web popolare, e il captive portal non appare mai. Quale meccanismo sta causando questo blocco?

Suggerimento: Pensa a come i browser moderni gestiscono i reindirizzamenti forzati sulle connessioni sicure.

Visualizza risposta modello

HSTS (HTTP Strict Transport Security) sta bloccando il reindirizzamento. L'ospite ha tentato di navigare su un dominio precaricato in HSTS (tramite HTTPS) e il gateway wireless ha tentato di intercettare tale connessione sicura per reindirizzarla al portale. Il browser ha rilevato la mancata corrispondenza del certificato e ha bloccato la connessione. Il gateway deve essere configurato per intercettare solo i probe HTTP non crittografati.

Q3. Hai attivato di recente le opzioni di social login di Google e Microsoft Entra ID sul tuo captive portal. Gli ospiti segnalano che la pagina del portale si carica, ma cliccando sui pulsanti di accesso si verifica un timeout. Il portale funziona perfettamente quando viene testato sulla rete del personale non limitata del reparto IT. Quale configurazione manca?

Suggerimento: Considera lo stato della rete del dispositivo ospite prima che l'autenticazione sia completata.

Visualizza risposta modello

Il walled garden (lista di controllo degli accessi pre-autenticazione) è incompleto. I domini di autenticazione OAuth e le CDN utilizzate da Google e Microsoft Entra ID non sono stati inseriti nella whitelist. Poiché l'ospite non è autenticato, il gateway blocca l'accesso a questi domini esterni, causando il timeout del processo di social login. Il team IT deve aggiungere voci con wildcard per questi identity provider nel walled garden.

Continua a leggere questa serie

Risoluzione dei problemi di reindirizzamento del Captive Portal: Risolvere i problemi di connessione WiFi degli ospiti

Quando gli ospiti si connettono al WiFi ma non riescono ad accedere a Internet, la causa è quasi sempre un reindirizzamento del captive portal configurato in modo errato, non un guasto hardware. Questa guida fornisce un riferimento tecnico approfondito per IT manager, network architect e CTO per diagnosticare e risolvere l'intera catena di errori: dai probe di connettività a livello di sistema operativo e dai conflitti di certificati HSTS fino alle lacune di autorizzazione RADIUS e all'esaurimento DHCP. Associa ogni modalità di guasto a una soluzione concreta e mostra come l'overlay cloud indipendente dall'hardware di Purple elimina questi problemi nelle implementazioni Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks e Fortinet.

Leggi la guida →

Le 10 cause principali di timeout DHCP sulle reti WiFi ad alta densità

Questa guida di riferimento tecnico autorevole identifica le dieci cause principali di timeout DHCP sulle reti WiFi ad alta densità e fornisce strategie di risoluzione pratiche e indipendenti dal fornitore. Progettata per leader IT senior, architetti di rete e direttori operativi delle strutture, copre principi ingegneristici approfonditi, flussi di lavoro di implementazione dettagliati e risultati aziendali misurabili. Scopri come eliminare i colli di bottiglia della connessione e ottimizzare la tua infrastruttura WiFi per offrire una connettività fluida in ambienti aziendali esigenti.

Leggi la guida →

Utilizzo di Packet Capture (PCAP) per diagnosticare le prestazioni WiFi lente

Questa guida di riferimento tecnico fornisce a IT manager, architetti di rete e direttori operativi delle strutture una metodologia strutturata a livello di pacchetto per diagnosticare e risolvere le prestazioni WiFi aziendali lente utilizzando l'analisi Packet Capture (PCAP). Analizzando i frame 802.11 grezzi — inclusi i tassi di ritrasmissione, l'utilizzo dell'airtime e i metadati del livello fisico — i team possono isolare con precisione i colli di bottiglia a livello RF dai problemi cablati o applicativi. Applicabile a strutture ad alta densità tra cui hotel, catene di vendita al dettaglio, stadi e centri congressi, questa guida offre flussi di lavoro diagnostici pratici, casi di studio reali e passaggi di remediation della configurazione per recuperare la capacità di rete e proteggere l'esperienza degli ospiti.

Leggi la guida →