Pular para o conteúdo principal

Solucionando Problemas de WiFi Público: Corrigindo "Conectado, Sem Internet" e Falhas de Redirecionamento da Splash Page

Este guia de referência técnica autoritativo explica os mecanismos subjacentes da detecção de Captive Portal e detalha os seis principais modos de falha que impedem a conexão do WiFi de visitantes. Ele fornece a gerentes de TI e arquitetos de rede uma estrutura prática de solução de problemas para resolver falhas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.

📖 6 min de leitura📝 1,303 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo a este informe técnico da Purple. Hoje estamos abordando um dos problemas mais persistentes e incompreendidos nas redes sem fio corporativas: o portal cativo de WiFi para visitantes que simplesmente se recusa a carregar. Você já passou por isso. Um visitante chega ao seu hotel, à sua loja de varejo, ao seu estádio ou ao seu centro de convenções. Ele se conecta à rede WiFi. Nada acontece. Nenhuma página de login. Sem internet. Apenas um ícone girando e uma sensação crescente de frustração. Para diretores de operações de locais e gerentes de TI, esse momento não é apenas um pequeno inconveniente. Ele representa uma falha direta na experiência do seu visitante, um pico de chamadas de suporte na recepção e uma oportunidade perdida de capturar os dados proprietários que justificam o investimento na sua infraestrutura sem fio. Neste informe técnico, iremos analisar os detalhes técnicos. Explicaremos exatamente como funciona a detecção do Captive Portal no nível do sistema operacional, identificaremos as seis causas raiz responsáveis pela grande maioria das falhas de conexão e forneceremos uma estrutura de solução de problemas prática e acionável que você pode entregar à sua equipe de TI hoje mesmo. Vamos começar com a parte mecânica. A maioria das pessoas pensa em um Captive Portal simplesmente como uma página de login. Na verdade, trata-se de um mecanismo de interceptação de tráfego no nível da rede, e essa distinção é extremamente importante quando as coisas dão errado. Aqui está a sequência. O dispositivo de um visitante se conecta ao seu SSID de visitantes e recebe um endereço IP via DHCP. Nesse ponto, o sistema operacional não espera que o usuário abra um navegador. Em segundo plano, um serviço do sistema envia imediatamente uma requisição HTTP GET não criptografada para uma URL de teste controlada pelo fabricante. Dispositivos Apple consultam captive.apple.com. Dispositivos Android consultam connectivitycheck.gstatic.com. Dispositivos Windows consultam msftconnecttest.com. O Firefox tem seu próprio teste em detectportal.firefox.com. Se a rede tiver acesso livre à internet, esses testes retornam as respostas esperadas e o sistema operacional conclui que está tudo bem. Mas em uma rede de visitantes, o seu gateway ou controladora sem fio intercepta esse teste HTTP antes que ele chegue à internet. Em vez da resposta esperada, o gateway retorna um redirecionamento HTTP 307 apontando para a página inicial do seu Captive Portal. O sistema operacional detecta o redirecionamento inesperado, percebe que está atrás de um Captive Portal e abre uma janela de navegador em sandbox - frequentemente chamada de Assistente de Rede Cativa - para exibir a página de login. Esse é o caminho ideal. Agora vamos falar sobre as seis maneiras pelas quais isso falha. Causa raiz número um: esgotamento do pool DHCP. Este é o assassino silencioso em eventos de alta densidade. Se você está realizando uma conferência com dois mil participantes em uma sub-rede padrão barra-24, você tem 254 endereços IP utilizáveis. Se o tempo de concessão do seu DHCP estiver definido para o padrão de 24 horas, você esgotará esse pool poucos minutos após a abertura das portas. Cada tentativa de conexão subsequente falhará antes mesmo que a sequência do Captive Portal comece. A correção é simples: defina os tempos de concessão de DHCP para visitantes entre 15 e 30 minutos em ambientes de alta rotatividade e dimensione suas sub-redes adequadamente para o pico de usuários simultâneos, não apenas para o número total de pessoas. Causa raiz número dois: falha na interceptação de DNS. O redirecionamento do Captive Portal depende do gateway interceptar a sondagem HTTP. Mas a sondagem requer primeiro uma consulta DNS. Se a sua configuração de DNS não permitir que clientes pré-autenticados resolvam nomes de domínio externos, a sondagem nunca é disparada. Certifique-se de que sua política de firewall permita explicitamente consultas de DNS de clientes não autenticados e verifique se a interceptação de DNS está funcionando executando uma captura de pacotes em um dispositivo de teste. Causa raiz número três: walled garden incompleto. O walled garden - também chamado de lista de controle de acesso de pré-autenticação - define quais domínios externos os visitantes não autenticados podem acessar. Se a página inicial do seu portal carrega recursos de uma CDN que não está no walled garden, a página é renderizada como uma tela em branco. Se você oferece login social via Google, Apple ou Facebook, cada domínio de OAuth que esses provedores utilizam deve estar na lista de permissões. E aqui está o ponto crítico: os provedores de identidade social atualizam seus intervalos de IP de CDN e domínios de autenticação regularmente. Um walled garden que funcionava perfeitamente há seis meses pode estar quebrado hoje de forma silenciosa. Agende auditorias trimestrais de walled garden e use a detecção de domínio curinga onde seu hardware oferecer suporte. No Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist, isso está disponível nativamente. Causa raiz número quatro: HSTS bloqueando o redirecionamento. O HTTP Strict Transport Security, ou HSTS, é uma política de segurança do navegador que força conexões para domínios específicos apenas via HTTPS. Se o dispositivo de um visitante tentar entrar em contato com um domínio pré-carregado com HSTS - e isso inclui virtualmente todos os principais sites - e seu gateway tentar interceptar essa solicitação HTTPS para redirecionar para o portal, o navegador detectará uma incompatibilidade de certificado. Ele apresentará um aviso de segurança que não pode ser ignorado e bloqueará totalmente o redirecionamento. A solução correta é nunca tentar a interceptação de HTTPS. Seu gateway deve apenas redirecionar as sondagens canário de HTTP não criptografadas. A correção de longo prazo baseada em padrões é a RFC 8910, que define a Opção 114 do DHCP. Essa opção permite que o seu servidor DHCP anuncie diretamente a URL do Captive Portal para o dispositivo cliente, eliminando totalmente a necessidade de redirecionamento HTTP. O iOS 14, o Android 11 e versões superiores suportam isso nativamente. Causa raiz número cinco: VPN ativa no dispositivo do visitante. Uma VPN criptografa todo o tráfego do dispositivo e o direciona por um túnel externo antes que ele alcance o seu gateway. O seu gateway nunca vê a sondagem HTTP. A sequência de detecção do Captive Portal nunca é acionada. O visitante não vê a página de login e fica sem internet. A solução para o visitante é simples: desativar a VPN, conectar-se ao portal e, em seguida, reativar a VPN. Para a sua equipe de atendimento, esta deve ser a primeira pergunta a ser feita quando um visitante relatar um problema de conexão. Causa raiz número seis: a randomização de endereços MAC quebrando a persistência da sessão. Os dispositivos modernos com iOS e Android usam endereços MAC randomizados por padrão como um recurso de privacidade. Cada vez que um dispositivo se conecta a uma rede, ele pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é rastreado pelo endereço MAC, um visitante que se autenticou há uma hora pode se deparar com a página de login novamente após a rotação do MAC do seu dispositivo. A solução voltada para o visitante é desativar o Endereço Privado para o seu SSID específico nas configurações de rede. A solução do lado do operador é implementar a autenticação baseada em perfil - como OpenRoaming via Passpoint e 802.1X - que autentica na Camada 2 usando credenciais em vez de endereços MAC, tornando a randomização irrelevante. Agora vamos falar sobre implementação. Como é, na prática, uma implantação de Captive Portal bem configurada? Comece com a sua arquitetura DHCP. Para qualquer local que espere mais de 200 dispositivos simultâneos, afaste-se de uma única sub-rede barra 24. Use barra 22 ou maior, e configure os tempos de concessão (lease times) para corresponder ao perfil de permanência do seu local. Um hotel define as concessões para 8 horas. Um estádio define as concessões para 3 horas. Um shopping center define as concessões para 90 minutos. Um centro de convenções define as concessões para 30 minutos. Em seguida, valide o seu walled garden antes de cada grande evento. As entradas mínimas necessárias são: o nome de domínio totalmente qualificado do seu portal e todos os domínios CDN associados, as URLs de detecção de Captive Portal para Apple, Google, Windows e Firefox, e os domínios OAuth para cada provedor de login social que você suporta. Na plataforma da Purple, mantemos e atualizamos essas entradas de walled garden de forma automática como parte do nosso serviço gerenciado na nuvem, o que elimina a carga de manutenção manual da sua equipe. Para o certificado do seu portal, use um certificado TLS publicamente confiável de uma autoridade certificadora reconhecida. Certificados autoassinados acionarão avisos do navegador em todos os dispositivos. Renove os certificados antes do vencimento - um certificado expirado é uma das causas mais comuns de falhas repentinas no portal em todo o local. Uma armadilha que pega muitas equipes de TI: testar o portal a partir de um dispositivo que já se autenticou anteriormente. A sessão do seu dispositivo ainda está ativa, então você ignora totalmente o portal e conclui que tudo está funcionando. Sempre teste a partir de um dispositivo em um estado novo e não autenticado - seja um dispositivo novo ou um no qual você tenha esquecido a rede e limpado o perfil de WiFi.Deixe-me apresentar dois cenários do mundo real que ilustram esses princípios. Cenário um: um hotel de 350 quartos no centro de Londres. A propriedade operava uma única sub-rede barra 24 para o WiFi de convidados. Durante uma grande conferência, 400 delegados chegaram simultaneamente. Em 20 minutos, o pool DHCP estava esgotado. Os hóspedes relataram estar conectados, mas sem conseguir acessar o Captive Portal ou a internet. A solução imediata foi estender a sub-rede para barra 22, disponibilizando 1.022 endereços utilizáveis, e reduzir o tempo de lease de 24 horas para 8 horas. A solução de longo prazo foi implementar o Captive Portal gerenciado em nuvem da Purple, que monitora a utilização do pool DHCP em tempo real e alerta a equipe de rede antes que ocorra o esgotamento. A taxa de falha do portal caiu para quase zero em até 48 horas após a mudança. Cenário dois: uma grande rede de varejo com 200 lojas. A rede utilizava login social via Google e Facebook em seu portal de convidados. Depois que o Google atualizou sua infraestrutura OAuth, os novos domínios de autenticação não estavam no walled garden. Os convidados conseguiam acessar a página do portal, mas os botões de login social exibiam telas em branco. A equipe de TI da rede passou dois dias diagnosticando o problema antes de identificar a lacuna no walled garden. A correção levou 10 minutos uma vez identificada. A lição: nunca codifique endereços IP permanentemente no seu walled garden para provedores OAuth baseados em nuvem. Use entradas de domínio curinga e revise-as trimestralmente. Agora, algumas perguntas rápidas que ouvimos regularmente das equipes de TI dos locais. Por que o portal funciona em iPhones, mas não em dispositivos Android? O Android usa connectivitycheck.gstatic.com como sua URL de teste. Se esse domínio estiver bloqueado pelo seu firewall ou não estiver no seu walled garden, os dispositivos Android nunca acionarão o portal. Adicione-o explicitamente. Um convidado diz que o portal carregou, mas ele não consegue navegar depois de fazer o login. Isso quase sempre é uma falha de autorização RADIUS. Verifique se o seu servidor RADIUS está acessível a partir do controlador sem fio, valide se o segredo compartilhado coincide em ambos os lados e revise os logs do RADIUS em busca de mensagens de Access-Reject. Como lidamos com convidados que continuam sendo desconectados após alguns minutos? Verifique sua configuração de timeout de inatividade. Muitos controladores têm como padrão um timeout de inatividade de 5 minutos, o que é agressivo demais para dispositivos móveis que entram em modo de suspensão entre as interações. Defina o timeout de inatividade para pelo menos 30 minutos em ambientes de hotelaria e varejo. Para resumir os pontos principais do briefing de hoje. As falhas no Captive Portal de WiFi de convidados dividem-se em seis categorias: esgotamento do pool DHCP, falha de interceptação de DNS, walled garden incompleto, bloqueio de redirecionamento HSTS, VPN ativa no dispositivo do cliente e randomização de endereço MAC. Cada uma tem uma correção específica e testável. Para a sua equipe de TI, as ações imediatas são: auditar os tempos de lease do seu DHCP e o dimensionamento das sub-redes, validar o seu walled garden em relação aos domínios OAuth atuais dos seus provedores de login social e testar o seu portal a partir de um dispositivo não autenticado novo após cada alteração de configuração.Para o seu roadmap de longo prazo, avalie o OpenRoaming como o sucessor da reautenticação via Captive Portal para visitantes frequentes. A tecnologia está madura, os padrões estão estabelecidos sob o IEEE 802.1X e WPA3-Enterprise, e a Purple a disponibiliza sem custo adicional de software no plano Connect. A Purple opera em 80.000 locais e processou 440 milhões de logins apenas em 2024. Já vimos todos os modos de falha descritos neste briefing - e construímos as ferramentas para preveni-los. Se você deseja explorar como a sobreposição em nuvem da Purple se integra com sua infraestrutura existente Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, visite purple.ai ou fale com seu gerente de contas. Obrigado por nos ouvir.

Resumo Executivo

header_image.png

Um convidado se conecta ao seu WiFi, mas a página de login não carrega. Ele vê um aviso de "Conectado, Sem Internet" e desiste. Para Diretores de Operações de Locais e Gerentes de TI, essa falha representa uma degradação direta da experiência do convidado, um aumento nos chamados de suporte e uma oportunidade perdida de coletar dados primários, o que justifica o investimento na infraestrutura sem fio.

Este guia explica exatamente como a detecção de Captive Portal funciona no nível do sistema operacional e identifica as seis causas raiz responsáveis pela maioria das falhas de conexão. Ele fornece uma estrutura de solução de problemas prática e neutra em termos de fornecedor para resolver exaustão de DHCP, falhas de interceptação de DNS, walled gardens incompletos, redirecionamentos HSTS bloqueados, conflitos de VPN ativa e problemas de randomização de endereço MAC.

Aprofundamento Técnico: Como a Detecção de Captive Portal Realmente Funciona

Para solucionar problemas em um captive portal, você deve primeiro entender o que um captive portal realmente faz no nível da rede. Não se trata apenas de uma página de login; é um mecanismo de interceptação de tráfego no nível da rede.

Quando um dispositivo de convidado se conecta a um SSID de convidado, ele recebe um endereço IP via DHCP. O sistema operacional não espera que o usuário abra um navegador. Em vez disso, um serviço de sistema em segundo plano envia imediatamente uma solicitação HTTP GET não criptografada para uma URL de teste controlada pelo fornecedor. Dispositivos Apple consultam captive.apple.com. Dispositivos Android consultam connectivitycheck.gstatic.com. Dispositivos Windows consultam msftconnecttest.com. O Firefox consulta detectportal.firefox.com.

Se a rede tiver acesso aberto à internet, esses testes retornam a resposta HTTP 200 OK esperada e o sistema operacional decide que a conexão está ativa. No entanto, em uma rede de convidados, o gateway ou controladora sem fio intercepta esse teste HTTP antes que ele possa alcançar a internet. Em vez da resposta esperada, o gateway retorna um HTTP 307 Temporary Redirect apontando para a splash page do captive portal. O sistema operacional detecta esse redirecionamento inesperado, entende que está atrás de um captive portal e abre uma janela de navegador isolada (Captive Network Assistant) para exibir a página de login.

portal_architecture_diagram.png

Solução de Problemas e Mitigação de Riscos: As 6 Causas Raiz de Falha

Quando um captive portal não carrega, o problema é quase sempre causado por um de seis modos de falha específicos.

root_causes_infographic.png

1. Esgotamento do Pool DHCP

Este é um vilão silencioso em eventos de alta densidade. Se você estiver realizando uma conferência com 2.000 participantes e usando uma sub-rede /24 padrão, terá apenas 254 endereços IP utilizáveis. Se o tempo de concessão (lease time) do seu DHCP estiver definido para o padrão de 24 horas, seu pool se esgotará em poucos minutos após a abertura das portas. Qualquer tentativa de conexão subsequente falhará antes mesmo de a sequência do Captive Portal começar.

Solução: Defina o tempo de concessão do DHCP para visitantes entre 15 e 30 minutos em ambientes de alta rotatividade. Dimensione suas sub-redes de acordo com o pico de usuários simultâneos, e não apenas com a média de público. Uma sub-rede /22 oferece 1.022 endereços utilizáveis, que é o tamanho mínimo recomendado para locais corporativos.

2. Falha na Interceptação de DNS

A redirecionamento do Captive Portal depende de o gateway interceptar uma sondagem HTTP. No entanto, essa sondagem exige primeiro uma consulta de DNS. Se a sua configuração de DNS não permitir que clientes pré-autenticados resolvam nomes de domínio externos, a sondagem nunca será executada.

Solução: Certifique-se de que as políticas do seu firewall permitam explicitamente consultas de DNS (porta 53) de clientes não autenticados. Execute uma captura de pacotes em um dispositivo de teste para verificar se a sua interceptação de DNS está funcionando.

3. Walled Garden Incompleto

O walled garden (lista de controle de acesso pré-autenticação) define quais domínios externos os visitantes não autenticados podem acessar. Se a página inicial (splash page) do seu portal carregar recursos de uma CDN que não está incluída no walled garden, a página será exibida em branco. Se você oferece logins sociais via Google, Apple ou Microsoft Entra ID, cada um dos domínios OAuth utilizados por esses provedores deve ser incluído na lista de permissões. Os provedores de identidade social atualizam regularmente suas faixas de IP de CDN e domínios de autenticação; um walled garden que funcionava perfeitamente há seis meses pode quebrar da noite para o dia.

Solução: Agende auditorias trimestrais do walled garden. Onde o seu hardware for compatível, utilize a varredura de domínio curinga (wildcard domain snooping), disponível nativamente no Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. A Purple mantém e atualiza automaticamente essas entradas do walled garden como parte do nosso serviço gerenciado na nuvem.

4. Bloqueio de Redirecionamento HSTS

O HTTP Strict Transport Security (HSTS) é uma política de segurança de navegador que força conexões para domínios específicos apenas via HTTPS. Se um dispositivo de visitante tentar se comunicar com um domínio pré-carregado com HSTS, e o seu gateway tentar interceptar essa solicitação HTTPS para redirecionar para o portal, o navegador detectará uma incompatibilidade de certificado. Isso exibe um aviso de segurança inevitável e bloqueia completamente o redirecionamento.

Solução: Nunca tente realizar a interceptação HTTPS para o redirecionamento inicial. Garanta que o seu gateway apenas redirecione testes HTTP não criptografados. A solução de longo prazo baseada em padrões é o RFC 8910, que define a Opção DHCP 114. Esta opção permite que o seu servidor DHCP anuncie a URL do Captive Portal diretamente para o dispositivo do cliente, ignorando completamente a necessidade de redirecionamento HTTP. O iOS 14 e o Android 11 ou superior oferecem suporte nativo a isso.

5. VPN Ativa no Dispositivo do Cliente

Uma VPN criptografa todo o tráfego do dispositivo e o roteia através de um túnel externo antes que ele chegue ao seu gateway. O seu gateway nunca vê o teste HTTP, de modo que a sequência de detecção do Captive Portal nunca é acionada. Os visitantes não veem nem a página de login nem a internet.

Solução: O visitante deve desativar a VPN, conectar-se ao portal e, em seguida, reativar a VPN. Para a equipe de atendimento, perguntar se o visitante está usando uma VPN deve ser a primeira etapa de suporte.

6. Persistência de Sessão Interrompida por Randomização de Endereço MAC

Dispositivos modernos iOS e Android usam endereços MAC randomizados por padrão como um recurso de privacidade. Cada vez que um dispositivo se conecta a uma rede, ele pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é monitorado pelo endereço MAC, um visitante autenticado há uma hora pode se deparar com a página de login novamente após a alteração do MAC do dispositivo.

Solução: A solução para os visitantes é desativar o Endereço Privado para o seu SSID específico nas configurações de rede. A solução do lado do operador é implementar a autenticação baseada em perfil, como Passpoint e OpenRoaming via 802.1X, que autentica na Camada 2 usando credenciais em vez de endereços MAC, tornando a randomização irrelevante.

Guia de Implementação: Construindo uma Arquitetura Resiliente

A implantação de um Captive Portal bem configurado exige decisões arquiteturais ativas.

  1. Verifique o seu walled garden antes de cada grande evento. As entradas mínimas necessárias são: o FQDN do seu portal e todos os domínios CDN associados, as URLs de detecção de Captive Portal da Apple, Google, Windows e Firefox, e os domínios OAuth de cada provedor de login social que você suporta.
  2. Use um certificado TLS publicamente confiável. Certificados autoassinados acionarão avisos do navegador em todos os dispositivos. Renove os certificados antes que expirem; um certificado expirado é uma das causas mais comuns de falhas repentinas do portal em todo o estabelecimento.
  3. Teste a partir de um estado novo e não autenticado. Testar o portal a partir de um dispositivo previamente autenticado ignorará o portal completamente porque a sessão ainda está ativa. Sempre teste a partir de um novo dispositivo ou de um dispositivo no qual você tenha esquecido a rede e excluído o perfil de WiFi.
  4. Ajuste os limites de tempo de inatividade. Muitos controladores usam como padrão um tempo limite de inatividade de 5 minutos, o que é altamente agressivo para dispositivos móveis que entram em modo de suspensão entre as interações. Defina o limite de tempo de inatividade para pelo menos 30 minutos em ambientes de hospitalidade e varejo.

Retorno sobre o Investimento (ROI) e Impacto nos Negócios

Captive Portals são uma tecnologia madura, mas possuem algumas complexidades inerentes. O objetivo estratégico é avançar em direção a uma autenticação contínua e segura.

O OpenRoaming, construído com base no Passpoint e 802.1X, ajuda os visitantes frequentes a se conectarem de forma automática e segura sem ver nenhuma página de login. Sob o nosso plano Connect, a Purple atua como um provedor de identidade gratuito para OpenRoaming. Locais como Premier Inn e Manchester Airports Group já estão utilizando essa tecnologia para eliminar o incômodo de uma nova autenticação para visitantes recorrentes, mantendo total conformidade com a GDPR e a coleta de dados primários (first-party). Ao reduzir as falhas de conexão, você pode aumentar diretamente o volume de dados primários coletados, impulsionando a fidelidade do cliente e o engajamento personalizado.

Podcast de Briefing Técnico

Ouça uma análise detalhada dessas etapas de solução de problemas com o nosso Arquiteto de Soluções Sênior em nosso briefing técnico de 10 minutos.

Definições principais

Captive Portal

Um mecanismo de interceptação de tráfego no nível da rede que restringe o acesso à internet até que o usuário conclua uma ação obrigatória, como aceitar os termos ou fornecer credenciais em uma splash page.

O método principal para locais corporativos garantirem o acesso seguro de visitantes e capturarem dados primários.

Walled Garden

Uma lista de controle de acesso pré-autenticação que define quais endereços IP externos ou domínios um dispositivo de visitante não autenticado tem permissão para acessar.

Crucial para permitir o acesso aos recursos do portal, CDNs e provedores de identidade OAuth antes que o usuário esteja totalmente autenticado.

Captive Network Assistant (CNA)

Uma janela de navegador em sandbox e com funcionalidade limitada, aberta automaticamente pelo sistema operacional quando detecta um redirecionamento de Captive Portal.

Esta é a interface onde o visitante realmente visualiza e interage com a sua página de login.

HSTS (HTTP Strict Transport Security)

Um mecanismo de política de segurança web que ajuda a proteger sites contra ataques man-in-the-middle, forçando os navegadores a interagir com eles apenas por meio de conexões HTTPS seguras.

O HSTS impede que os gateways usem interceptação HTTPS para redirecionar os usuários para um Captive Portal, causando falhas de conexão se configurado incorretamente.

Esgotamento do Pool DHCP

Um estado em que um servidor DHCP atribuiu todos os endereços IP disponíveis em sua sub-rede configurada, impedindo que novos dispositivos entrem na rede.

Uma causa comum de erros de "Conectado, Sem Internet" em ambientes de alta densidade, como estádios ou conferências.

Randomização de Endereço MAC

Um recurso de privacidade em sistemas operacionais móveis modernos que gera um endereço MAC aleatório para cada rede WiFi, impedindo o rastreamento em diferentes locais.

Este recurso quebra a persistência da sessão em Captive Portals, forçando os visitantes a se autenticarem novamente caso seu endereço MAC mude.

OpenRoaming

Uma federação de redes WiFi que permite aos usuários conectar-se de forma automática e segura a redes participantes sem inserir credenciais ou interagir com um Captive Portal.

O sucessor estratégico dos portais cativos para visitantes recorrentes, suportado pela Purple como um provedor de identidade gratuito.

RFC 8910 (DHCP Option 114)

Um padrão que permite a um servidor DHCP fornecer diretamente a URL do Captive Portal ao dispositivo cliente durante a atribuição do endereço IP.

Isso ignora completamente a necessidade de redirecionamento HTTP, resolvendo problemas causados pelo HSTS e melhorando a velocidade de detecção do portal.

Exemplos práticos

Um hotel de 350 quartos no centro de Londres opera uma única sub-rede /24 para o WiFi de visitantes. Durante uma grande conferência, 400 delegados chegam simultaneamente. Em 20 minutos, os visitantes relatam estar conectados, mas incapazes de acessar o portal ou a internet.

A correção imediata é estender a sub-rede para /22, oferecendo 1.022 endereços utilizáveis, e reduzir o tempo de concessão DHCP de 24 horas para 8 horas. A solução de longo prazo é implementar o Captive Portal gerenciado em nuvem do Purple, que monitora a utilização do pool DHCP em tempo real e alerta a equipe de rede antes que ocorra o esgotamento.

Comentário do examinador: Este cenário demonstra o esgotamento clássico do pool DHCP. Uma sub-rede /24 fornece apenas 254 endereços IP utilizáveis. Ao aumentar o tamanho da sub-rede e reduzir o tempo de concessão, a rede pode acomodar a alta rotatividade de dispositivos típica de um ambiente de conferência.

Uma grande rede de varejo com 200 lojas utiliza login social via Google e Facebook em seu portal de visitantes. Após o Google atualizar sua infraestrutura OAuth, os visitantes conseguem acessar a página do portal, mas os botões de login social exibem telas em branco.

A equipe de TI deve identificar os novos domínios de autenticação usados pelo Google e adicioná-los ao Walled Garden (lista de controle de acesso pré-autenticação). Para evitar isso no futuro, eles devem usar entradas de domínio com caracteres curinga (ex: *.google.com) em vez de codificar endereços IP específicos diretamente, além de revisar o Walled Garden trimestralmente.

Comentário do examinador: Isso destaca a fragilidade dos Walled Gardens estáticos ao depender de provedores OAuth de terceiros. Provedores de identidade baseados em nuvem alteram frequentemente suas faixas de IP e domínios de CDN. O monitoramento de curingas (wildcard snooping), suportado nativamente por hardwares corporativos como Cisco Meraki e HPE Aruba, é a abordagem arquitetônica correta.

Questões práticas

Q1. O diretor de TI de um estádio relata que, durante o intervalo, milhares de torcedores tentam se conectar ao WiFi de visitantes. O portal carrega para alguns, mas muitos relatam que seus dispositivos ficam travados em "Obtendo endereço IP" ou mostram "Conectado, sem Internet" antes mesmo que o portal apareça. Qual é a falha de arquitetura mais provável?

Dica: Considere o volume de conexões simultâneas versus os recursos disponíveis no segmento de rede.

Ver resposta modelo

A rede está sofrendo esgotamento do pool DHCP. O tamanho da sub-rede provavelmente é muito pequeno (por exemplo, um /24) para a carga de pico de usuários simultâneos, e o tempo de concessão (lease time) do DHCP provavelmente está configurado com um valor muito alto. A abordagem recomendada é aumentar o tamanho da sub-rede (por exemplo, para um /22 ou /21) e reduzir o tempo de concessão do DHCP para corresponder ao tempo de permanência esperado (por exemplo, 3 horas para um estádio).

Q2. Um visitante se conecta à sua rede WiFi de varejo. O dispositivo dele exibe um aviso de segurança informando "Sua conexão não é privada" ao tentar carregar um site popular, e o Captive Portal nunca aparece. Qual mecanismo está causando esse bloqueio?

Dica: Pense em como os navegadores modernos lidam com redirecionamentos forçados em conexões seguras.

Ver resposta modelo

O HSTS (HTTP Strict Transport Security) está bloqueando o redirecionamento. O visitante tentou navegar para um domínio pré-carregado com HSTS (via HTTPS), e o gateway sem fio tentou interceptar essa conexão segura para redirecionar para o portal. O navegador detectou a incompatibilidade de certificado e bloqueou a conexão. O gateway deve ser configurado para interceptar apenas sondas HTTP não criptografadas.

Q3. Você ativou recentemente as opções de login social do Google e Microsoft Entra ID no seu Captive Portal. Os visitantes relatam que a página do portal carrega, mas clicar nos botões de login resulta em tempo limite esgotado (timeout). O portal funciona perfeitamente quando testado na rede irrestrita da equipe do departamento de TI. Qual configuração está faltando?

Dica: Considere o estado da rede do dispositivo do visitante antes que a autenticação seja concluída.

Ver resposta modelo

O jardim murado (walled garden - lista de controle de acesso pré-autenticação) está incompleto. Os domínios de autenticação OAuth e CDNs usados pelo Google e Microsoft Entra ID não foram incluídos na lista de permissões. Como o visitante não está autenticado, o gateway bloqueia o acesso a esses domínios externos, fazendo com que o processo de login social expire. A equipe de TI deve adicionar entradas curinga (wildcard) para esses provedores de identidade no walled garden.

Continue a ler esta série

Solução de problemas de redirecionamento de Captive Portal: Resolvendo falhas de conexão de WiFi de convidados

Quando os convidados se conectam ao seu WiFi, mas não conseguem acessar a internet, a causa quase sempre é um redirecionamento de Captive Portal configurado incorretamente - não uma falha de hardware. Este guia fornece uma referência técnica detalhada para gerentes de TI, arquitetos de rede e CTOs para diagnosticar e resolver toda a cadeia de falhas: desde testes de conectividade no nível do sistema operacional e conflitos de certificado HSTS até lacunas de autorização RADIUS e esgotamento de DHCP. Ele mapeia cada modo de falha para uma correção concreta e mostra como a camada de nuvem agnóstica de hardware da Purple elimina esses problemas em implantações Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.

Ler o guia →

As 10 Principais Causas de Timeouts de DHCP em Redes Wireless de Alta Densidade

Este guia de referência técnica definitivo identifica as dez principais causas de timeouts de DHCP em redes wireless de alta densidade e fornece estratégias de remediação práticas e independentes de fornecedor. Projetado para líderes seniores de TI, arquitetos de rede e diretores de operações de locais de eventos, ele abrange princípios de engenharia aprofundados, fluxos de trabalho de implementação passo a passo e resultados de negócios mensuráveis. Saiba como eliminar gargalos de conexão e otimizar sua infraestrutura wireless para oferecer conectividade contínua em ambientes corporativos exigentes.

Ler o guia →

Usando Packet Capture (PCAP) para Diagnosticar Desempenho Lento de WiFi

Este guia de referência técnica fornece a gerentes de TI, arquitetos de rede e diretores de operações de locais um método estruturado em nível de pacote para diagnosticar e resolver o desempenho lento de WiFi corporativo usando a análise de Packet Capture (PCAP). Ao dissecar frames 802.11 brutos — incluindo taxas de retransmissão, utilização de tempo de antena (airtime) e metadados da camada física —, as equipes podem isolar gargalos da camada de RF de problemas de rede cabeada ou de aplicações com precisão. Aplicável a locais de alta densidade, incluindo hotéis, redes de varejo, estádios e centros de convenções, este guia oferece fluxos de trabalho de diagnóstico práticos, estudos de caso reais e etapas de correção de configuração para recuperar a capacidade da rede e proteger a experiência do convidado.

Ler o guia →