Pular para o conteúdo principal
Português (Brasil)

Arquitetura de Captive Portal: Segurança, Redirecionamento e Melhores Práticas

Uma referência técnica definitiva sobre a arquitetura de captive portal corporativo. Este guia detalha o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implantam redes WiFi de visitantes seguras e ricas em dados.

📖 5 min de leitura📝 1,232 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Fale em inglês britânico com um tom confiante, autoritativo e de conversação - como um consultor sênior de redes orientando um cliente durante um café. Ritmo compassado, dicção clara, sem pressa. Pausas naturais ocasionais para ênfase. Profissional, mas não rígido: Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos nos aprofundar na arquitetura de Captive Portal - especificamente no modelo de segurança, na mecânica de redirecionamento e nas decisões de design que diferenciam uma implantação em conformidade e bem projetada de uma que lhe trará problemas às três da manhã. [medium pause] Vamos contextualizar. Você está operando WiFi para convidados em uma rede de hotéis, em propriedades de varejo ou em um estádio. Milhares de dispositivos se conectam todos os dias. Alguns desses dispositivos contêm malware. Alguns desses usuários tentarão acessar conteúdos que não deveriam. E sua equipe jurídica quer saber, por escrito, que você obteve consentimento válido antes de armazenar um único byte de dados pessoais. [medium pause] Esse é o problema que a arquitetura de Captive Portal foi projetada para resolver. Vamos analisar como isso realmente funciona. [medium pause] Seção um. A cadeia de redirecionamento. Quando um dispositivo convidado se conecta ao seu SSID de WiFi, ele recebe um endereço IP de um pool de DHCP em uma VLAN dedicada para convidados - vamos chamá-la de VLAN 20. Seus dispositivos corporativos estão na VLAN 10. Essas duas VLANs nunca devem rotear entre si. Isso não é negociável sob o ponto de vista do PCI DSS e, francamente, também sob o ponto de vista de segurança básica. Agora, o dispositivo está conectado, mas ainda não foi autenticado. O controlador o coloca no que chamamos de estado de pré-autenticação. O dispositivo só pode acessar uma pequena lista de permissões de domínios - o walled garden. Todo o resto é interceptado. Aqui está a parte inteligente. Quando o dispositivo tenta carregar uma página da web - ou quando o sistema operacional realiza sua verificação de detecção de Captive Portal, o que o iOS faz automaticamente ao acessar captive.apple.com - o resolvedor DNS no gateway retorna o endereço IP do servidor do Captive Portal em vez do destino real. O navegador segue esse redirecionamento e chega à sua splash page. [medium pause] Isso é a Camada 3 e a Camada 7 trabalhando juntas. A VLAN cuida do isolamento da rede. A interceptação de DNS lida com o redirecionamento. E o Captive Portal gerencia a camada de identidade e consentimento. Três mecanismos distintos, todos trabalhando em sequência. [medium pause] Seção dois. Autenticação e RADIUS. Assim que o convidado interage com a splash page - seja aceitando os termos e condições, inserindo um endereço de e-mail, autenticando-se via login social ou verificando um código SMS - a plataforma precisa instruir o controlador de rede a abrir o firewall para aquele dispositivo específico. É aqui que entra o RADIUS. RADIUS significa Remote Authentication Dial-In User Service. É um protocolo definido na RFC 2865 e é o padrão do setor para comunicar decisões de autenticação entre um servidor de políticas e um dispositivo de acesso à rede. A Purple opera como um servidor RADIUS hospedado na nuvem. Quando um visitante conclui o fluxo do Captive Portal, a Purple envia uma mensagem RADIUS Access-Accept para o controlador WiFi local - seja um Cisco Meraki, um controlador HPE Aruba, um Ruckus SmartZone ou um ponto de acesso Juniper Mist. O controlador recebe essa mensagem e transiciona o dispositivo do visitante do estado de pré-autenticação para o estado autorizado, liberando as regras de firewall e concedendo acesso à internet. [medium pause] Existe uma extensão importante do RADIUS que você deve conhecer: Change of Authorisation, ou CoA. O CoA permite que o servidor RADIUS envie uma mensagem no meio da sessão para o controlador para revogar ou modificar uma sessão que já está ativa. A Purple usa o CoA para impor limites de tempo de sessão, desconectar dispositivos que foram sinalizados por violações de políticas e oferecer suporte a fluxos de trabalho de direito ao esquecimento (right-to-erasure) sob a GDPR - onde um usuário solicita a exclusão de seus dados e a Purple pode revogar imediatamente sua sessão ativa. [medium pause] Seção três. O jardim murado (walled garden). O walled garden é uma lista de permissões (whitelist) de endereços IP e nomes de domínio que dispositivos não autenticados podem acessar antes de concluírem o fluxo do Captive Portal. Se você errar isso, sua página de login (splash page) não será carregada. Se errar feio, você terá criado uma brecha de segurança. No mínimo, seu walled garden precisa incluir a própria URL do Captive Portal, quaisquer endpoints de CDN que servem os recursos do portal e os endpoints de autenticação de quaisquer provedores de login social que você estiver usando - Google, Facebook, Microsoft. Se estiver usando verificação por SMS, você precisará liberar o endpoint da API do gateway de SMS. A armadilha que pega a maioria das implantações são os endereços IP dinâmicos. Os serviços em nuvem nem sempre têm IPs estáticos. Se você liberar um IP em vez de um domínio, e esse IP mudar, seu portal para de funcionar. Use a liberação baseada em domínio se o seu controlador oferecer suporte a isso e teste após cada alteração. [medium pause] Seção quatro. Design de segurança. Vamos falar sobre a arquitetura de segurança com mais detalhes, porque é aqui que a maioria das implantações apresenta falhas. Primeiro: isolamento de cliente (client isolation). Ative-o. Essa é uma configuração no ponto de acesso que impede que os dispositivos dos visitantes se comuniquem diretamente entre si pelo meio sem fio. Sem isso, um dispositivo comprometido em sua rede de visitantes pode sondar e atacar outros dispositivos de visitantes. É uma correção simples de uma única caixa de seleção que elimina toda uma classe de ataques peer-to-peer. Segundo: tempos de concessão DHCP (DHCP lease times). Em locais de alta rotatividade - um terminal de transporte, um estádio, uma loja de varejo movimentada - você precisa de tempos de concessão curtos. De trinta a sessenta minutos. Se você deixar o padrão de vinte e quatro horas e tiver dez mil dispositivos se conectando em um dia de jogo, esgotará seu pool de endereços IP antes do intervalo. Novos dispositivos não se conectarão. Sua equipe de operações receberá reclamações. Mantenha as concessões curtas. Terceiro: criptografia. Seu Captive Portal deve ser servido via HTTPS com um certificado TLS válido. Se for servido via HTTP, os navegadores modernos o sinalizarão como não seguro, os usuários desconfiarão dele e você estará transmitindo credenciais em texto simples. Use no mínimo TLS 1.2; o TLS 1.3 é preferível. A camada de transporte de WiFi deve usar WPA2-AES ou WPA3 - nunca WEP, nunca TKIP. Quarto: segmentação de VLAN. Sua VLAN de visitantes deve ser completamente isolada de qualquer segmento de rede que toque em dados de cartão de pagamento. O PCI DSS versão 4.0 é explícito sobre isso. Se a sua rede de visitantes puder rotear para uma sub-rede contendo um sistema de ponto de venda, toda a sua rede POS estará no escopo de uma auditoria PCI. Esse é um fardo de conformidade significativo. Segmente corretamente desde o primeiro dia. [medium pause] Seção cinco. GDPR e conformidade de dados. Todo Captive Portal que coleta dados pessoais - e endereço de e-mail, número de telefone e login social contam como dados pessoais sob a GDPR - deve atender a requisitos específicos. Você precisa de uma base legal para o processamento. Para WiFi de visitantes, isso normalmente é o consentimento. O consentimento deve ser dado livremente, específico, informado e inequívoco. Caixas pré-marcadas não contam. Agrupar o consentimento de WiFi com o consentimento de marketing não conta. O modelo de opt-in de escolha consciente da Purple separa o consentimento de acesso à rede do consentimento de marketing, de modo que os visitantes possam se conectar sem serem forçados a aceitar e-mails de marketing. Você precisa documentar quais dados coleta, por que os coleta, onde são armazenados e por quanto tempo os retém. A Purple é certificada ISO 27001, em conformidade com a GDPR, CCPA e certificada com Cyber Essentials. A plataforma armazena dados em data centers em conformidade, com políticas de retenção documentadas. E você precisa de um fluxo de trabalho de direito ao esquecimento. Se um visitante solicitar a exclusão de seus dados, você deve ser capaz de agir em até trinta dias. A plataforma da Purple oferece suporte nativo a isso, e o mecanismo de CoA RADIUS que mencionei anteriormente significa que você pode revogar sessões ativas ao mesmo tempo. [medium pause] Agora vamos passar para as recomendações de implementação e as armadilhas que vemos com mais frequência. [medium pause] Armadilha um: jardins murados mal configurados. A splash page carrega, mas o botão de login social não funciona. Ou a página carrega, mas o logotipo não aparece porque o domínio da CDN não está na lista de permissões. Teste seu jardim murado em um dispositivo novo sem DNS em cache antes de entrar em produção. Armadilha dois: PSKs compartilhadas. Alguns locais ainda usam uma única senha de WiFi escrita em um quadro-negro. Isso não é um Captive Portal - isso é um segredo compartilhado que qualquer pessoa pode fotografar e compartilhar. Ele não fornece dados de identidade, nenhum registro de consentimento e nenhuma capacidade de revogar o acesso individual. Substitua-o por um Captive Portal gerenciado. Armadilha três: dimensionamento insuficiente do pool de DHCP. Eu já cobri isso, mas vale a pena repetir. Dimensione seu pool de DHCP para o pico de conexões simultâneas, não para as conexões médias. Em um estádio com quarenta mil torcedores, você pode ter vinte mil dispositivos tentando se conectar simultaneamente. Planeje de acordo. Quarto erro: sem limite de tempo de sessão. Sem um limite de tempo de sessão (session timeout), um dispositivo que se conectou há seis meses e nunca mais retornou ainda mantém um estado de sessão autorizado em sua controladora. Esse é um registro obsoleto que desperdiça recursos e gera ruído de auditoria. Defina limites de tempo de sessão. Trinta minutos de inatividade é um padrão razoável. [medium pause] Perguntas e respostas rápidas. Pergunta: O Captive Portal funciona em todos os dispositivos? Resposta: Os sistemas operacionais modernos — iOS, Android, Windows, macOS — possuem detecção de Captive Portal integrada. Eles detectam o redirecionamento e exibem o portal automaticamente. Dispositivos mais antigos podem exigir que o usuário abra um navegador manualmente. A plataforma da Purple lida com ambos os fluxos. Pergunta: Podemos usar o Captive Portal junto com o 802.1X? Resposta: Sim. Muitas implantações corporativas usam 802.1X para dispositivos de funcionários — onde certificados ou credenciais autenticam automaticamente — e um Captive Portal para dispositivos de convidados em um SSID separado. A Purple se integra com a infraestrutura RADIUS que suporta ambos os fluxos simultaneamente. Pergunta: E quanto ao OpenRoaming? Resposta: O OpenRoaming é um padrão que permite que os dispositivos se conectem ao WiFi automaticamente usando autenticação baseada em certificado, ignorando totalmente o Captive Portal. A Purple atua como um provedor de identidade gratuito para OpenRoaming sob a licença Connect. É o caminho futuro para uma conectividade de convidados contínua, mas os Captive Portals continuam sendo o padrão para captura de dados e gerenciamento de consentimento hoje. [medium pause] Para resumir. Uma implantação de Captive Portal bem projetada baseia-se em cinco pilares. Isolamento de VLAN para proteger sua rede corporativa. Interceptação de DNS e redirecionamento HTTPS para apresentar a splash page. Autenticação RADIUS para abrir o firewall após o consentimento. Um walled garden configurado corretamente para garantir que o portal carregue de forma confiável. E tratamento de dados em conformidade com a GDPR para proteger tanto seus convidados quanto sua organização. A plataforma da Purple gerencia todas as cinco camadas em mais de 80.000 locais ativos, com 440 milhões de logins processados em 2024 e 99,999% de uptime. Ela se integra nativamente com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet — portanto, não importa o hardware que você esteja usando, você pode implantar sem precisar trocar tudo. Se você quiser se aprofundar em qualquer um desses tópicos — design de SSID, configuração de RADIUS ou fluxos de trabalho de conformidade com a GDPR — visite purple.ai para acessar a biblioteca completa de guias técnicos. Obrigado por ouvir.

header_image.png

Executive summary

For enterprise venues, guest WiFi is critical infrastructure that demands strict architectural discipline. Bridging the gap between open public access and secure corporate networking requires precise configuration of VLAN isolation, DNS interception, and identity management. This guide dissects the mechanics of enterprise captive portal architecture, stripping away the marketing jargon to explain exactly how it works at the packet level. We cover the core technical components: VLAN segmentation, DHCP pool management, HTTP redirection, RADIUS authentication, and bandwidth shaping.

Whether you are deploying a new network for a Hospitality chain or upgrading legacy infrastructure in Healthcare , understanding these mechanics is essential for mitigating risk, ensuring PCI DSS and GDPR compliance, and capturing actionable first-party data via our WiFi Analytics platform.

Listen to the technical briefing podcast:

Technical deep-dive: how captive portals work

At a fundamental level, an enterprise guest WiFi network operates by deceiving the client device just enough to intercept its traffic, force authentication, and then route it securely to the internet without ever touching the corporate LAN.

1. Logical isolation via VLANs

The foundation of any secure Guest WiFi network is logical separation. When a venue user connects to the guest SSID, the access point tags their traffic with a specific Virtual Local Area Network (VLAN) ID (e.g., VLAN 20), while corporate traffic operates on a separate VLAN (e.g., VLAN 10).

This tagging ensures that at the switch and firewall level, guest traffic is physically incapable of routing to internal subnets containing point-of-sale systems or patient records. The firewall is configured with explicit deny rules for inter-VLAN routing, forcing guest traffic directly out the WAN interface.

architecture_overview.png

2. DHCP and the IP address pool

Upon connection, the client device broadcasts a DHCP Discover packet. The network responds by assigning an IP address from a dedicated guest subnet. A critical technical distinction here is the lease time. While corporate devices might retain an IP for eight days, guest networks must use aggressive lease times (30 to 60 minutes) to prevent IP pool exhaustion in high-turnover environments like Transport hubs.

3. DNS interception and the captive portal

This is where the user experience begins. When the newly connected device attempts to reach a website (or when the OS performs its captive portal detection check, like Apple's captive.apple.com), the network intercepts the DNS request.

Instead of resolving the actual IP address of the requested site, the gateway returns the IP address of the captive portal. The client's browser is then HTTP-redirected to the splash page hosted by Purple.

4. Authentication and RADIUS

Once the user interacts with the captive portal - whether by accepting terms and conditions, entering an email, or using a social login - the platform must inform the local network controller to allow the traffic.

This is handled via the RADIUS (Remote Authentication Dial-In User Service) protocol. Purple acts as the cloud RADIUS server, sending an Access-Accept message back to the local WiFi controller or gateway. The controller then changes the user's state from 'unauthorised' (walled garden access only) to 'authorised', opening the firewall ports for standard internet access.

Implementation guide: building for scale

Deploying guest WiFi requires balancing user friction with security and data capture requirements. Our cloud overlay integrates natively with Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme, and Fortinet hardware.

Step 1: Architect the network topology

Ensure your core switches and firewalls support 802.1Q VLAN tagging. Configure your guest VLAN to terminate at a DMZ interface on the firewall, completely bypassing internal routing tables.

Step 2: Configure the walled garden

A walled garden is a list of IP addresses and domains that unauthenticated users are allowed to access. This must include the URLs required to load the captive portal, CDN assets for logos, and the authentication endpoints for social logins (e.g., Microsoft Entra ID, Okta, Google Workspace). If the walled garden is misconfigured, the splash page will fail to load, resulting in a dead end for the user.

Step 3: Implement client isolation

Enable client isolation on your access points. This prevents connected guest devices from communicating directly with one another over the wireless medium, effectively mitigating peer-to-peer attacks and malware propagation within the guest subnet.

Step 4: Integrate identity management

Move away from shared PSKs. Implement a managed captive portal that captures first-party data through conscious-choice opt-ins. For seamless, secure onboarding, consider implementing OpenRoaming. Purple acts as a free identity provider for OpenRoaming under the Connect plan, allowing devices to authenticate securely via certificates without a traditional splash page. For more on designing multi-network environments, read our guide: Three SSIDs to rule them all: the WiFi design for guest, staff, and IoT .

Best practices and compliance

Compliance is not optional. A properly engineered captive portal protects your organisation from liability and regulatory fines.

security_compliance_checklist.png

GDPR and data privacy

A captive portal collects personal data from the moment a user connects. To meet GDPR requirements, you must capture explicit consent before processing this data. Purple's platform handles the Layer 7 identity and consent requirements necessary for GDPR compliance, ensuring that data is collected legally, stored securely, and can be erased upon request via automated workflows.

PCI DSS v4.0 compliance

If your organisation processes credit cards, your network is subject to PCI DSS. Guest WiFi networks that run on the same network as POS systems can drag the guest network into PCI DSS scope, which creates significant audit burdens. Strict VLAN segmentation is mandatory to ensure guest traffic never touches the cardholder data environment.

Network security standards

Enforce WPA3 or WPA2-AES encryption on the wireless transport layer. Ensure your captive portal is served over HTTPS using TLS 1.2 or TLS 1.3 to protect user credentials during the authentication phase.

Troubleshooting and risk mitigation

Even well-designed networks encounter issues. Here are the most common failure modes and how to avoid them.

Failure mode: IP address exhaustion In a busy Retail environment, devices constantly probe and connect to open networks. If your DHCP lease time is 24 hours, a shopper who walks past your store for five minutes consumes an IP address for the entire day. Mitigation: Reduce DHCP lease times to 30 minutes on the guest VLAN.

Failure mode: Walled garden blocks Cloud services frequently change their IP addresses. If your walled garden uses static IP whitelisting for social login endpoints, authentication will break when those IPs rotate. Mitigation: Use domain-based whitelisting for walled garden entries wherever your hardware controller supports it.

Failure mode: Stale sessions Users leave the venue without disconnecting, but their session remains active on the controller, consuming resources. Mitigation: Implement aggressive idle timeouts (e.g., 30 minutes) and use RADIUS Change of Authorisation (CoA) to actively revoke sessions when time limits are reached.

ROI and business impact

A secure captive portal transforms a traditional IT cost centre into a revenue-generating asset. By capturing verified first-party data, venues can build detailed visitor profiles. Purple processed 440 million logins in 2024 across 80,000+ live venues, proving the scale and reliability of this approach.

For example, McDonald's uses captive portal data to understand diner dwell times and visit frequency, while Manchester Airports Group optimises passenger flow based on connection analytics. The ROI is measured not just in marketing database growth, but in the operational insights derived from the 29 billion data points collected by the platform.

Definições principais

Captive Portal

Uma página web que intercepta o tráfego de rede e exige a interação do usuário (como aceitar termos ou fazer login) antes de conceder acesso total à internet.

O principal mecanismo para capturar dados primários (first-party) e aplicar termos de uso em redes de visitantes.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização.

O protocolo que a Purple usa para informar ao seu hardware de WiFi local que um visitante tem permissão para acessar a internet.

Walled Garden

Uma lista restrita de endereços IP ou domínios que um usuário pode acessar antes de se autenticar através do captive portal.

Essencial para permitir o carregamento da splash page e dos provedores de login social enquanto o dispositivo ainda está em estado de pré-autenticação.

VLAN

Virtual Local Area Network. Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas.

Usada para segmentar de forma segura o tráfego de visitantes do tráfego corporativo, garantindo a conformidade com o PCI DSS.

Client Isolation

Uma configuração de segurança sem fio que impede que os dispositivos conectados ao mesmo ponto de acesso se comuniquem diretamente entre si.

Crucial para proteger os visitantes de ataques peer-to-peer e da propagação de malware na rede pública.

DHCP Lease Time

A duração pela qual um endereço IP é atribuído a um dispositivo antes de expirar e retornar ao pool disponível.

Deve ser mantido curto (30-60 minutos) em redes de visitantes para evitar a falta de endereços IP à medida que os visitantes entram e saem.

RADIUS CoA

Change of Authorisation (Mudança de Autorização). Uma extensão do RADIUS que permite ao servidor alterar o estado da sessão de um cliente ativo.

Usado pela Purple para desconectar instantaneamente os usuários quando o limite de tempo expira ou se eles solicitarem a exclusão de dados sob a GDPR.

OpenRoaming

Um serviço de federação de roaming que permite aos dispositivos conectarem-se de forma automática e segura a redes WiFi participantes usando certificados.

A próxima geração de conectividade contínua, onde a Purple atua como um provedor de identidade gratuito no plano Connect.

Exemplos práticos

Um hotel de 200 quartos precisa implantar WiFi de visitantes em toda a sua propriedade. Atualmente, eles usam uma única rede plana (192.168.1.0/24) para a recepção, back office e acesso de visitantes por meio de uma senha compartilhada. Eles desejam capturar os endereços de e-mail dos visitantes para fins de marketing, garantindo ao mesmo tempo a segurança dos sistemas da recepção.

  1. Implementar segmentação de rede: Crie a VLAN 10 para a recepção/escritório e a VLAN 20 para os visitantes.
  2. Configurar o firewall: Bloqueie todo o roteamento da VLAN 20 para a VLAN 10. Roteie a VLAN 20 diretamente para a WAN.
  3. Remover a senha compartilhada: Implante um SSID aberto chamado 'Hotel_Guest'.
  4. Configurar o captive portal: Configure o controlador WiFi para redirecionar o tráfego HTTP não autenticado para a URL do captive portal da Purple.
  5. Configurar o jardim murado (walled garden): Adicione os domínios do portal Purple e os recursos de CDN à lista de permissões para que a splash page seja carregada.
  6. Configurar o RADIUS: Adicione os endereços IP do servidor RADIUS da Purple e os segredos compartilhados ao controlador WiFi.
  7. Ajustar o DHCP: Defina o pool de DHCP da VLAN 20 para uma sub-rede /22 com um tempo de concessão (lease time) de 60 minutos para lidar com a alta rotatividade de dispositivos.
Comentário do examinador: Esta abordagem resolve o risco imediato de conformidade com o PCI DSS isolando os sistemas da recepção. A transição de uma senha compartilhada para um captive portal baseado em RADIUS permite a captura de dados necessária, oferecendo controle de sessão individual e rastreabilidade.

Um grande estádio espera 40.000 espectadores para uma partida. Eles implantaram um captive portal, mas estão preocupados com o desempenho da rede e o esgotamento de IPs durante o evento de 3 horas.

  1. Dimensionamento do DHCP: Implante uma sub-rede /16 para a VLAN de visitantes para fornecer mais de 65.000 endereços IP disponíveis.
  2. Tempos de concessão (Lease Times): Defina o tempo de concessão do DHCP para 30 minutos para liberar rapidamente os IPs de torcedores que saem mais cedo.
  3. Modelagem de banda (Bandwidth Shaping): Aplique um limite de taxa por usuário de 5 Mbps de download / 2 Mbps de upload no nível do controlador para evitar que alguns usuários saturem o link de internet de 10 Gbps.
  4. Isolamento de clientes (Client Isolation): Ative o isolamento de clientes no nível do AP para evitar tempestades de broadcast e tráfego peer-to-peer que possam degradar o desempenho do wireless no ambiente de alta densidade do estádio.
Comentário do examinador: Ambientes de alta densidade exigem gerenciamento agressivo de recursos. A combinação de uma sub-rede grande, concessões curtas e modelagem estrita de banda garante acesso justo para todos os torcedores, protegendo ao mesmo tempo a estabilidade da rede principal.

Questões práticas

Q1. Você está implantando um Captive Portal em uma sala de espera de um hospital. A splash page carrega com sucesso em dispositivos Android, mas os dispositivos iOS exibem uma tela branca em branco. Qual é a causa arquitetônica mais provável?

Dica: Considere como diferentes sistemas operacionais detectam portais cativos (Captive Portals) e quais recursos eles precisam alcançar.

Ver resposta modelo

O walled garden provavelmente está mal configurado. Os dispositivos iOS tentam acessar domínios específicos da Apple (como captive.apple.com) para acionar o mini-navegador do portal. Se esses domínios ou os recursos específicos de CDN exigidos pela splash page não estiverem na lista de permissões (whitelist) do walled garden, a página não será renderizada corretamente no Apple CNA (Captive Network Assistant).

Q2. Uma rede de varejo deseja oferecer WiFi gratuito, mas exige que os usuários façam login usando suas credenciais do Microsoft Entra ID. Durante os testes, os usuários são redirecionados para a splash page, clicam no botão "Entrar com a Microsoft", mas a página expira (timeout). Por quê?

Dica: Pense no estado do firewall antes que a autenticação RADIUS seja concluída.

Ver resposta modelo

Os endpoints de autenticação do Microsoft Entra ID não foram adicionados ao walled garden. Como o usuário está em um estado de pré-autenticação, o firewall bloqueia todo o tráfego para a internet. Para corrigir isso, os domínios de login e intervalos de IP específicos da Microsoft devem ser incluídos na lista de permissões para que o dispositivo possa se comunicar com o provedor de identidade para concluir o fluxo OAuth.

Q3. Um local está ficando sem endereços IP em sua rede de convidados todas as tardes, apesar de ter menos usuários simultâneos do que o tamanho do seu pool DHCP. Qual alteração de configuração é necessária?

Dica: Pense em quanto tempo um dispositivo retém um endereço IP depois de sair do edifício.

Ver resposta modelo

O tempo de concessão (lease time) do DHCP está configurado como muito alto (provavelmente o padrão de 12 ou 24 horas). Dispositivos que se conectam brevemente e saem estão retendo seus endereços IP, impedindo que novos dispositivos se conectem. O tempo de concessão deve ser reduzido para 30 a 60 minutos para reciclar rapidamente os IPs dos convidados que já saíram.

Continue a ler esta série

Projetando Captive Portals B2B: Coletando Nome Registrado e Dados da Empresa

Este guia fornece aos gerentes de TI e operadores de locais uma estrutura técnica neutra em relação a fornecedores para projetar Captive Portals B2B. Ele detalha como estruturar campos de registro para capturar dados de nome registrado e empresa, garantindo altas taxas de conclusão enquanto mantém a conformidade com o GDPR e constrói inteligência no nível da conta.

Ler o guia →

Otimizando Captive Portals B2B: Capturando Nomes de Empresas e Dados Profissionais

Este guia explica como gerentes de TI, arquitetos de rede e diretores de operações de locais podem configurar Captive Portals B2B para capturar dados profissionais - nomes de empresas, cargos e endereços de e-mail comercial - no momento do login no WiFi. Ele abrange toda a arquitetura técnica, desde o isolamento de VLAN e autenticação RADIUS até a integração de CRM com Salesforce e HubSpot, com conformidade com GDPR e CCPA integrada. Os locais que implantam isso corretamente transformam sua rede WiFi de convidados em um mecanismo de dados proprietários e em um sistema automatizado de geração de leads.

Ler o guia →

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, impor a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.

Ler o guia →