Solucionando Problemas de WiFi Público: Corrigindo "Conectado, Sem Internet" e Falhas de Redirecionamento da Splash Page
Este guia de referência técnica autoritativo explica os mecanismos subjacentes da detecção de Captive Portal e detalha os seis principais modos de falha que impedem a conexão do WiFi de visitantes. Ele fornece a gerentes de TI e arquitetos de rede uma estrutura prática de solução de problemas para resolver falhas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Aprofundamento Técnico: Como a Detecção de Captive Portal Realmente Funciona
- Solução de Problemas e Mitigação de Riscos: As 6 Causas Raiz de Falha
- 1. Esgotamento do Pool DHCP
- 2. Falha na Interceptação de DNS
- 3. Walled Garden Incompleto
- 4. Bloqueio de Redirecionamento HSTS
- 5. VPN Ativa no Dispositivo do Cliente
- 6. Persistência de Sessão Interrompida por Randomização de Endereço MAC
- Guia de Implementação: Construindo uma Arquitetura Resiliente
- Retorno sobre o Investimento (ROI) e Impacto nos Negócios
- Podcast de Briefing Técnico
Resumo Executivo

Um convidado se conecta ao seu WiFi, mas a página de login não carrega. Ele vê um aviso de "Conectado, Sem Internet" e desiste. Para Diretores de Operações de Locais e Gerentes de TI, essa falha representa uma degradação direta da experiência do convidado, um aumento nos chamados de suporte e uma oportunidade perdida de coletar dados primários, o que justifica o investimento na infraestrutura sem fio.
Este guia explica exatamente como a detecção de Captive Portal funciona no nível do sistema operacional e identifica as seis causas raiz responsáveis pela maioria das falhas de conexão. Ele fornece uma estrutura de solução de problemas prática e neutra em termos de fornecedor para resolver exaustão de DHCP, falhas de interceptação de DNS, walled gardens incompletos, redirecionamentos HSTS bloqueados, conflitos de VPN ativa e problemas de randomização de endereço MAC.
Aprofundamento Técnico: Como a Detecção de Captive Portal Realmente Funciona
Para solucionar problemas em um captive portal, você deve primeiro entender o que um captive portal realmente faz no nível da rede. Não se trata apenas de uma página de login; é um mecanismo de interceptação de tráfego no nível da rede.
Quando um dispositivo de convidado se conecta a um SSID de convidado, ele recebe um endereço IP via DHCP. O sistema operacional não espera que o usuário abra um navegador. Em vez disso, um serviço de sistema em segundo plano envia imediatamente uma solicitação HTTP GET não criptografada para uma URL de teste controlada pelo fornecedor. Dispositivos Apple consultam captive.apple.com. Dispositivos Android consultam connectivitycheck.gstatic.com. Dispositivos Windows consultam msftconnecttest.com. O Firefox consulta detectportal.firefox.com.
Se a rede tiver acesso aberto à internet, esses testes retornam a resposta HTTP 200 OK esperada e o sistema operacional decide que a conexão está ativa. No entanto, em uma rede de convidados, o gateway ou controladora sem fio intercepta esse teste HTTP antes que ele possa alcançar a internet. Em vez da resposta esperada, o gateway retorna um HTTP 307 Temporary Redirect apontando para a splash page do captive portal. O sistema operacional detecta esse redirecionamento inesperado, entende que está atrás de um captive portal e abre uma janela de navegador isolada (Captive Network Assistant) para exibir a página de login.

Solução de Problemas e Mitigação de Riscos: As 6 Causas Raiz de Falha
Quando um captive portal não carrega, o problema é quase sempre causado por um de seis modos de falha específicos.

1. Esgotamento do Pool DHCP
Este é um vilão silencioso em eventos de alta densidade. Se você estiver realizando uma conferência com 2.000 participantes e usando uma sub-rede /24 padrão, terá apenas 254 endereços IP utilizáveis. Se o tempo de concessão (lease time) do seu DHCP estiver definido para o padrão de 24 horas, seu pool se esgotará em poucos minutos após a abertura das portas. Qualquer tentativa de conexão subsequente falhará antes mesmo de a sequência do Captive Portal começar.
Solução: Defina o tempo de concessão do DHCP para visitantes entre 15 e 30 minutos em ambientes de alta rotatividade. Dimensione suas sub-redes de acordo com o pico de usuários simultâneos, e não apenas com a média de público. Uma sub-rede /22 oferece 1.022 endereços utilizáveis, que é o tamanho mínimo recomendado para locais corporativos.
2. Falha na Interceptação de DNS
A redirecionamento do Captive Portal depende de o gateway interceptar uma sondagem HTTP. No entanto, essa sondagem exige primeiro uma consulta de DNS. Se a sua configuração de DNS não permitir que clientes pré-autenticados resolvam nomes de domínio externos, a sondagem nunca será executada.
Solução: Certifique-se de que as políticas do seu firewall permitam explicitamente consultas de DNS (porta 53) de clientes não autenticados. Execute uma captura de pacotes em um dispositivo de teste para verificar se a sua interceptação de DNS está funcionando.
3. Walled Garden Incompleto
O walled garden (lista de controle de acesso pré-autenticação) define quais domínios externos os visitantes não autenticados podem acessar. Se a página inicial (splash page) do seu portal carregar recursos de uma CDN que não está incluída no walled garden, a página será exibida em branco. Se você oferece logins sociais via Google, Apple ou Microsoft Entra ID, cada um dos domínios OAuth utilizados por esses provedores deve ser incluído na lista de permissões. Os provedores de identidade social atualizam regularmente suas faixas de IP de CDN e domínios de autenticação; um walled garden que funcionava perfeitamente há seis meses pode quebrar da noite para o dia.
Solução: Agende auditorias trimestrais do walled garden. Onde o seu hardware for compatível, utilize a varredura de domínio curinga (wildcard domain snooping), disponível nativamente no Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. A Purple mantém e atualiza automaticamente essas entradas do walled garden como parte do nosso serviço gerenciado na nuvem.
4. Bloqueio de Redirecionamento HSTS
O HTTP Strict Transport Security (HSTS) é uma política de segurança de navegador que força conexões para domínios específicos apenas via HTTPS. Se um dispositivo de visitante tentar se comunicar com um domínio pré-carregado com HSTS, e o seu gateway tentar interceptar essa solicitação HTTPS para redirecionar para o portal, o navegador detectará uma incompatibilidade de certificado. Isso exibe um aviso de segurança inevitável e bloqueia completamente o redirecionamento.
Solução: Nunca tente realizar a interceptação HTTPS para o redirecionamento inicial. Garanta que o seu gateway apenas redirecione testes HTTP não criptografados. A solução de longo prazo baseada em padrões é o RFC 8910, que define a Opção DHCP 114. Esta opção permite que o seu servidor DHCP anuncie a URL do Captive Portal diretamente para o dispositivo do cliente, ignorando completamente a necessidade de redirecionamento HTTP. O iOS 14 e o Android 11 ou superior oferecem suporte nativo a isso.
5. VPN Ativa no Dispositivo do Cliente
Uma VPN criptografa todo o tráfego do dispositivo e o roteia através de um túnel externo antes que ele chegue ao seu gateway. O seu gateway nunca vê o teste HTTP, de modo que a sequência de detecção do Captive Portal nunca é acionada. Os visitantes não veem nem a página de login nem a internet.
Solução: O visitante deve desativar a VPN, conectar-se ao portal e, em seguida, reativar a VPN. Para a equipe de atendimento, perguntar se o visitante está usando uma VPN deve ser a primeira etapa de suporte.
6. Persistência de Sessão Interrompida por Randomização de Endereço MAC
Dispositivos modernos iOS e Android usam endereços MAC randomizados por padrão como um recurso de privacidade. Cada vez que um dispositivo se conecta a uma rede, ele pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é monitorado pelo endereço MAC, um visitante autenticado há uma hora pode se deparar com a página de login novamente após a alteração do MAC do dispositivo.
Solução: A solução para os visitantes é desativar o Endereço Privado para o seu SSID específico nas configurações de rede. A solução do lado do operador é implementar a autenticação baseada em perfil, como Passpoint e OpenRoaming via 802.1X, que autentica na Camada 2 usando credenciais em vez de endereços MAC, tornando a randomização irrelevante.
Guia de Implementação: Construindo uma Arquitetura Resiliente
A implantação de um Captive Portal bem configurado exige decisões arquiteturais ativas.
- Verifique o seu walled garden antes de cada grande evento. As entradas mínimas necessárias são: o FQDN do seu portal e todos os domínios CDN associados, as URLs de detecção de Captive Portal da Apple, Google, Windows e Firefox, e os domínios OAuth de cada provedor de login social que você suporta.
- Use um certificado TLS publicamente confiável. Certificados autoassinados acionarão avisos do navegador em todos os dispositivos. Renove os certificados antes que expirem; um certificado expirado é uma das causas mais comuns de falhas repentinas do portal em todo o estabelecimento.
- Teste a partir de um estado novo e não autenticado. Testar o portal a partir de um dispositivo previamente autenticado ignorará o portal completamente porque a sessão ainda está ativa. Sempre teste a partir de um novo dispositivo ou de um dispositivo no qual você tenha esquecido a rede e excluído o perfil de WiFi.
- Ajuste os limites de tempo de inatividade. Muitos controladores usam como padrão um tempo limite de inatividade de 5 minutos, o que é altamente agressivo para dispositivos móveis que entram em modo de suspensão entre as interações. Defina o limite de tempo de inatividade para pelo menos 30 minutos em ambientes de hospitalidade e varejo.
Retorno sobre o Investimento (ROI) e Impacto nos Negócios
Captive Portals são uma tecnologia madura, mas possuem algumas complexidades inerentes. O objetivo estratégico é avançar em direção a uma autenticação contínua e segura.
O OpenRoaming, construído com base no Passpoint e 802.1X, ajuda os visitantes frequentes a se conectarem de forma automática e segura sem ver nenhuma página de login. Sob o nosso plano Connect, a Purple atua como um provedor de identidade gratuito para OpenRoaming. Locais como Premier Inn e Manchester Airports Group já estão utilizando essa tecnologia para eliminar o incômodo de uma nova autenticação para visitantes recorrentes, mantendo total conformidade com a GDPR e a coleta de dados primários (first-party). Ao reduzir as falhas de conexão, você pode aumentar diretamente o volume de dados primários coletados, impulsionando a fidelidade do cliente e o engajamento personalizado.
Podcast de Briefing Técnico
Ouça uma análise detalhada dessas etapas de solução de problemas com o nosso Arquiteto de Soluções Sênior em nosso briefing técnico de 10 minutos.
Definições principais
Captive Portal
Um mecanismo de interceptação de tráfego no nível da rede que restringe o acesso à internet até que o usuário conclua uma ação obrigatória, como aceitar os termos ou fornecer credenciais em uma splash page.
O método principal para locais corporativos garantirem o acesso seguro de visitantes e capturarem dados primários.
Walled Garden
Uma lista de controle de acesso pré-autenticação que define quais endereços IP externos ou domínios um dispositivo de visitante não autenticado tem permissão para acessar.
Crucial para permitir o acesso aos recursos do portal, CDNs e provedores de identidade OAuth antes que o usuário esteja totalmente autenticado.
Captive Network Assistant (CNA)
Uma janela de navegador em sandbox e com funcionalidade limitada, aberta automaticamente pelo sistema operacional quando detecta um redirecionamento de Captive Portal.
Esta é a interface onde o visitante realmente visualiza e interage com a sua página de login.
HSTS (HTTP Strict Transport Security)
Um mecanismo de política de segurança web que ajuda a proteger sites contra ataques man-in-the-middle, forçando os navegadores a interagir com eles apenas por meio de conexões HTTPS seguras.
O HSTS impede que os gateways usem interceptação HTTPS para redirecionar os usuários para um Captive Portal, causando falhas de conexão se configurado incorretamente.
Esgotamento do Pool DHCP
Um estado em que um servidor DHCP atribuiu todos os endereços IP disponíveis em sua sub-rede configurada, impedindo que novos dispositivos entrem na rede.
Uma causa comum de erros de "Conectado, Sem Internet" em ambientes de alta densidade, como estádios ou conferências.
Randomização de Endereço MAC
Um recurso de privacidade em sistemas operacionais móveis modernos que gera um endereço MAC aleatório para cada rede WiFi, impedindo o rastreamento em diferentes locais.
Este recurso quebra a persistência da sessão em Captive Portals, forçando os visitantes a se autenticarem novamente caso seu endereço MAC mude.
OpenRoaming
Uma federação de redes WiFi que permite aos usuários conectar-se de forma automática e segura a redes participantes sem inserir credenciais ou interagir com um Captive Portal.
O sucessor estratégico dos portais cativos para visitantes recorrentes, suportado pela Purple como um provedor de identidade gratuito.
RFC 8910 (DHCP Option 114)
Um padrão que permite a um servidor DHCP fornecer diretamente a URL do Captive Portal ao dispositivo cliente durante a atribuição do endereço IP.
Isso ignora completamente a necessidade de redirecionamento HTTP, resolvendo problemas causados pelo HSTS e melhorando a velocidade de detecção do portal.
Exemplos práticos
Um hotel de 350 quartos no centro de Londres opera uma única sub-rede /24 para o WiFi de visitantes. Durante uma grande conferência, 400 delegados chegam simultaneamente. Em 20 minutos, os visitantes relatam estar conectados, mas incapazes de acessar o portal ou a internet.
A correção imediata é estender a sub-rede para /22, oferecendo 1.022 endereços utilizáveis, e reduzir o tempo de concessão DHCP de 24 horas para 8 horas. A solução de longo prazo é implementar o Captive Portal gerenciado em nuvem do Purple, que monitora a utilização do pool DHCP em tempo real e alerta a equipe de rede antes que ocorra o esgotamento.
Uma grande rede de varejo com 200 lojas utiliza login social via Google e Facebook em seu portal de visitantes. Após o Google atualizar sua infraestrutura OAuth, os visitantes conseguem acessar a página do portal, mas os botões de login social exibem telas em branco.
A equipe de TI deve identificar os novos domínios de autenticação usados pelo Google e adicioná-los ao Walled Garden (lista de controle de acesso pré-autenticação). Para evitar isso no futuro, eles devem usar entradas de domínio com caracteres curinga (ex: *.google.com) em vez de codificar endereços IP específicos diretamente, além de revisar o Walled Garden trimestralmente.
Questões práticas
Q1. O diretor de TI de um estádio relata que, durante o intervalo, milhares de torcedores tentam se conectar ao WiFi de visitantes. O portal carrega para alguns, mas muitos relatam que seus dispositivos ficam travados em "Obtendo endereço IP" ou mostram "Conectado, sem Internet" antes mesmo que o portal apareça. Qual é a falha de arquitetura mais provável?
Dica: Considere o volume de conexões simultâneas versus os recursos disponíveis no segmento de rede.
Ver resposta modelo
A rede está sofrendo esgotamento do pool DHCP. O tamanho da sub-rede provavelmente é muito pequeno (por exemplo, um /24) para a carga de pico de usuários simultâneos, e o tempo de concessão (lease time) do DHCP provavelmente está configurado com um valor muito alto. A abordagem recomendada é aumentar o tamanho da sub-rede (por exemplo, para um /22 ou /21) e reduzir o tempo de concessão do DHCP para corresponder ao tempo de permanência esperado (por exemplo, 3 horas para um estádio).
Q2. Um visitante se conecta à sua rede WiFi de varejo. O dispositivo dele exibe um aviso de segurança informando "Sua conexão não é privada" ao tentar carregar um site popular, e o Captive Portal nunca aparece. Qual mecanismo está causando esse bloqueio?
Dica: Pense em como os navegadores modernos lidam com redirecionamentos forçados em conexões seguras.
Ver resposta modelo
O HSTS (HTTP Strict Transport Security) está bloqueando o redirecionamento. O visitante tentou navegar para um domínio pré-carregado com HSTS (via HTTPS), e o gateway sem fio tentou interceptar essa conexão segura para redirecionar para o portal. O navegador detectou a incompatibilidade de certificado e bloqueou a conexão. O gateway deve ser configurado para interceptar apenas sondas HTTP não criptografadas.
Q3. Você ativou recentemente as opções de login social do Google e Microsoft Entra ID no seu Captive Portal. Os visitantes relatam que a página do portal carrega, mas clicar nos botões de login resulta em tempo limite esgotado (timeout). O portal funciona perfeitamente quando testado na rede irrestrita da equipe do departamento de TI. Qual configuração está faltando?
Dica: Considere o estado da rede do dispositivo do visitante antes que a autenticação seja concluída.
Ver resposta modelo
O jardim murado (walled garden - lista de controle de acesso pré-autenticação) está incompleto. Os domínios de autenticação OAuth e CDNs usados pelo Google e Microsoft Entra ID não foram incluídos na lista de permissões. Como o visitante não está autenticado, o gateway bloqueia o acesso a esses domínios externos, fazendo com que o processo de login social expire. A equipe de TI deve adicionar entradas curinga (wildcard) para esses provedores de identidade no walled garden.
Continue a ler esta série
Solução de problemas de redirecionamento de Captive Portal: Resolvendo falhas de conexão de WiFi de convidados
Quando os convidados se conectam ao seu WiFi, mas não conseguem acessar a internet, a causa quase sempre é um redirecionamento de Captive Portal configurado incorretamente - não uma falha de hardware. Este guia fornece uma referência técnica detalhada para gerentes de TI, arquitetos de rede e CTOs para diagnosticar e resolver toda a cadeia de falhas: desde testes de conectividade no nível do sistema operacional e conflitos de certificado HSTS até lacunas de autorização RADIUS e esgotamento de DHCP. Ele mapeia cada modo de falha para uma correção concreta e mostra como a camada de nuvem agnóstica de hardware da Purple elimina esses problemas em implantações Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.
As 10 Principais Causas de Timeouts de DHCP em Redes Wireless de Alta Densidade
Este guia de referência técnica definitivo identifica as dez principais causas de timeouts de DHCP em redes wireless de alta densidade e fornece estratégias de remediação práticas e independentes de fornecedor. Projetado para líderes seniores de TI, arquitetos de rede e diretores de operações de locais de eventos, ele abrange princípios de engenharia aprofundados, fluxos de trabalho de implementação passo a passo e resultados de negócios mensuráveis. Saiba como eliminar gargalos de conexão e otimizar sua infraestrutura wireless para oferecer conectividade contínua em ambientes corporativos exigentes.
Usando Packet Capture (PCAP) para Diagnosticar Desempenho Lento de WiFi
Este guia de referência técnica fornece a gerentes de TI, arquitetos de rede e diretores de operações de locais um método estruturado em nível de pacote para diagnosticar e resolver o desempenho lento de WiFi corporativo usando a análise de Packet Capture (PCAP). Ao dissecar frames 802.11 brutos — incluindo taxas de retransmissão, utilização de tempo de antena (airtime) e metadados da camada física —, as equipes podem isolar gargalos da camada de RF de problemas de rede cabeada ou de aplicações com precisão. Aplicável a locais de alta densidade, incluindo hotéis, redes de varejo, estádios e centros de convenções, este guia oferece fluxos de trabalho de diagnóstico práticos, estudos de caso reais e etapas de correção de configuração para recuperar a capacidade da rede e proteger a experiência do convidado.