Captive Portal Login: Troubleshooting and Explainer

Este guia fornece uma referência técnica abrangente para compreender, implementar e resolver problemas em sistemas de login de Captive Portal em ambientes de WiFi de convidados empresariais. Explica os mecanismos exatos de redirecionamento HTTP e desvio de DNS utilizados pelos Captive Portals modernos, detalha como o HSTS e os navegadores HTTPS seguros podem bloquear redirecionamentos locais, e disponibiliza uma lista de verificação de resolução de problemas clara e acionável que abrange tanto correções do lado do cliente (desativar VPNs, desligar a aleatorização de MAC, utilizar o NeverSSL) como resoluções do lado do operador (configuração de walled garden, otimização do tempo de concessão DHCP, verificação de interceção de DNS). Os operadores de espaços, gestores de TI e arquitetos de rede considerarão este guia essencial para minimizar os pedidos de suporte de convidados e maximizar o ROI da sua infraestrutura sem fios.

📖 3 min de leitura📝 605 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

TITLE: Login do Captive Portal — Resolução de Problemas e Explicação
FORMAT: Podcast de Briefing Técnico da Purple
VOICE: Inglês do Reino Unido (Masculino) — Tom de Arquiteto de Soluções Sénior
DURATION: Aproximadamente 8 minutos

---

[SECTION 1: Introduction & Context — 0:00 to 1:15]

Olá e bem-vindo a este briefing técnico da Purple. Sou o vosso anfitrião e hoje vamos abordar um dos desafios mais comuns, mas frustrantes, nas redes sem fios empresariais: a falha de login no Captive Portal.

Todos nós já passámos por isso. Ligamo-nos a uma rede WiFi de convidados num hotel, numa loja de retalho ou num aeroporto, e nada acontece. A página de login não aparece, a ligação à internet está inativa e ficamos a olhar para um ecrã em branco ou para um aviso de segurança críptico. Para os diretores de operações de espaços e gestores de TI, isto não é apenas uma pequena falha técnica. É uma ameaça direta à satisfação do cliente, um gerador de pedidos de suporte e uma barreira à recolha de dados analíticos valiosos dos convidados que justificam o ROI da sua infraestrutura sem fios.

Neste podcast, vamos analisar o que está por trás dos Captive Portals modernos. Vamos explicar exatamente como funciona o mecanismo de redirecionamento HTTP, por que razão as normas web seguras como o HSTS podem por vezes bloqueá-lo, e vamos munir-vos com uma lista de verificação prática de resolução de problemas, tanto para os vossos convidados como para as vossas equipas de TI. Vamos começar.

---

[SECTION 2: Technical Deep-Dive — 1:15 to 6:15]

Para compreender por que razão um Captive Portal falha ao carregar, primeiro temos de perceber como é que um dispositivo o deteta.

Quando o seu smartphone ou portátil se associa a um SSID de convidados aberto e recebe um endereço IP via DHCP, o sistema operativo não espera que abra um navegador. Em segundo plano, um serviço do sistema envia imediatamente um pedido HTTP GET não encriptado para um URL canário específico, controlado pelo fabricante.

Para dispositivos Apple, este consulta captive.apple.com/hotspot-detect.html e procura a palavra Success. Os dispositivos Google consultam um URL gstatic generate-204, esperando um código de estado 204 No Content. Os dispositivos Windows consultam um ficheiro de texto de teste de ligação da Microsoft.

Se a rede tiver acesso aberto à internet, estas sondagens são bem-sucedidas e o SO permanece silencioso. Mas numa rede de convidados, o gateway ou controlador sem fios intercetará esta sondagem HTTP. Em vez de permitir que chegue à internet pública, o gateway devolve um redirecionamento HTTP 302 ou 303 que aponta para o FQDN seguro da splash page do Captive Portal. O sistema operativo deteta este redirecionamento inesperado, percebe que está atrás de um Captive Portal e abre imediatamente uma janela de navegador especializada e isolada (sandbox) — frequentemente chamada de Assistente de Captive Portal — para exibir a página de login.

Ora, este mecanismo de redirecionamento funcionou perfeitamente durante anos. Mas depois surgiu a revolução do HTTPS e uma norma crítica chamada HSTS, ou HTTP Strict Transport Security.

O HSTS é uma política de segurança que obriga os browsers a comunicar apenas com websites que utilizem ligações HTTPS seguras e encriptadas. Se um convidado se ligar ao seu WiFi e o seu browser ou uma aplicação tentar contactar um domínio com HSTS ativado — como o Google, o Facebook ou o seu portal bancário — o browser impõe rigorosamente a validação do certificado SSL/TLS.

Se o seu gateway sem fios tentar intercetar esse pedido HTTPS e redirecioná-lo para o Captive Portal, terá de apresentar um certificado SSL. Como o certificado do gateway não corresponde ao nome de domínio solicitado, o browser deteta um ataque do tipo "man-in-the-middle". Apresenta então um aviso de segurança massivo e intransponível e bloqueia totalmente o redirecionamento. O utilizador depara-se com uma página com erro e o Captive Portal nunca chega a carregar.

Para resolver isto, as redes modernas têm de garantir que as sondagens HTTP iniciais não encriptadas, enviadas pelos sistemas operativos, fiquem isentas de interceção HTTPS, permitindo-lhes redirecionar de forma limpa para o domínio seguro do portal. Além disso, assistimos à adoção da RFC 8910, que define uma Captive Portal API padronizada. Isto permite que o servidor DHCP informe diretamente o dispositivo cliente sobre o URL do Captive Portal, eliminando por completo a necessidade de interceção de DNS ou redirecionamento HTTP.

---

[SECÇÃO 3: Recomendações de Implementação e Erros Comuns — 6:15 a 8:15]

Então, como implementamos um Captive Portal robusto que evite estes erros comuns?

Primeiro, falemos do Walled Garden, ou da Lista de Controlo de Acesso pré-autenticação. Esta é a lista de domínios externos aos quais os convidados não autenticados têm permissão de aceder. Se o seu walled garden estiver mal configurado, a página do Captive Portal simplesmente não irá carregar. Deve incluir não apenas o FQDN da sua splash page — como os servidores cloud da Purple — mas também os domínios de quaisquer fornecedores de identidade social como o Google, Apple ou Facebook, caso ofereça logins sociais. Como estes fornecedores atualizam constantemente os seus domínios de autenticação e gamas de IP de CDN, a utilização de um controlador sem fios que suporte a monitorização de domínios com caracteres universais (wildcards) é absolutamente obrigatória.

Segundo, otimize o seu DHCP e DNS. Em locais movimentados como centros comerciais ou estádios, o esgotamento de endereços IP é um problema silencioso. Se o tempo de concessão (lease time) do DHCP para convidados estiver definido para o padrão de 24 horas, ficará sem endereços IP rapidamente. Defina os tempos de concessão para convidados entre 15 e 30 minutos. Garanta também que os seus servidores DNS são altamente responsivos e que os utilizadores pré-autenticados têm permissão para efetuar consultas DNS. Se não conseguirem resolver os URLs de teste (canary URLs), a sequência de deteção do portal falha antes sequer de começar.

E, finalmente, considere a transição para uma autenticação baseada em perfis, como o OpenRoaming. Ao abrigo da nossa licença Purple Connect, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming. Isto permite que os convidados frequentes se liguem automática e seguramente ao seu WiFi na Camada 2, contornando completamente o Captive Portal após a sua primeira visita. Proporciona uma experiência fluida, semelhante à rede móvel, mantendo simultaneamente uma segurança de topo.

---

[SECÇÃO 4: Perguntas e Respostas Rápidas — 8:15 às 9:15]

Vamos passar por uma sessão rápida de perguntas e respostas com base nas dúvidas mais comuns que recebemos das equipas de operações de locais físicos.

Pergunta um: Porque é que a página de login do WiFi de convidados não aparece automaticamente?

Isto é quase sempre causado por uma VPN ativa no dispositivo do convidado, ou porque estão a utilizar uma configuração de DNS segura e personalizada, como DNS-over-HTTPS. Ambas impedem que o gateway local intersete o pedido HTTP inicial.

Pergunta dois: Como é que um convidado pode forçar manualmente o carregamento da página do Captive Portal?

Instrua-os a abrir uma janela padrão do navegador e a digitar http://neverssl.com. Como este site foi concebido para nunca utilizar SSL, o gateway pode intersetar facilmente o pedido e acionar o redirecionamento.

Pergunta três: Porque é que um convidado tem de iniciar sessão novamente sempre que se afasta por alguns minutos?

Isto deve-se à aleatorização do endereço MAC, uma funcionalidade de privacidade predefinida nos dispositivos modernos iOS e Android. Esta funcionalidade apresenta um novo endereço MAC à rede, quebrando a persistência da sessão. Instrua-os a desativar o Endereço Privado para o seu SSID de convidados.

---

[SECÇÃO 5: Resumo e Próximos Passos — 9:15 às 10:00]

Em resumo, uma experiência de WiFi de convidados fiável baseia-se numa compreensão profunda do funcionamento do Captive Portal. Ao otimizar o seu walled garden, gerir os seus intervalos de DHCP e formar a sua equipa de atendimento ao público sobre correções simples do lado do cliente — como desativar VPNs e utilizar o NeverSSL —, pode reduzir drasticamente os pedidos de suporte e manter os seus convidados ligados.

Para uma fiabilidade de nível empresarial, a plataforma de Captive Portal gerida na nuvem da Purple oferece uma compatibilidade robusta entre dispositivos logo a partir do primeiro momento, garantindo que o seu mecanismo de redirecionamento funciona na perfeição sempre.

Obrigado por ouvir este briefing técnico da Purple. Para mais guias e recursos, visite o nosso website em purple.ai. Até à próxima, mantenha as suas redes seguras e os seus convidados ligados.

Principais Conclusões

✓As falhas de início de sessão no Captive Portal são quase sempre causadas por uma de seis causas principais: esgotamento do pool de DHCP, configuração incorreta de interceção de DNS, um walled garden incompleto, uma VPN ativa no dispositivo do convidado, a aleatorização do endereço MAC que quebra a persistência da sessão ou o HSTS que impede a injeção de redirecionamento HTTPS.
✓O mecanismo de redirecionamento do Captive Portal baseia-se na interceção do teste canário HTTP ao nível do SO (não no tráfego HTTPS). Os dispositivos Apple utilizam o captive.apple.com, os dispositivos Google utilizam o connectivitycheck.gstatic.com/generate_204 e os dispositivos Windows utilizam o msftconnecttest.com. Garantir que estes testes são intercetados e redirecionados corretamente é a base de um Captive Portal funcional.
✓O HSTS é a principal razão pela qual a interceção de tráfego HTTPS para redirecionamento de Captive Portal falha nos dispositivos modernos. A solução correta é redirecionar apenas os testes canários HTTP não encriptados, e não tentar a interceção de HTTPS. O RFC 8910 (Opção DHCP 114) é a correção a longo prazo baseada em normas.
✓Para a equipa de atendimento ao público, a lista de verificação de resolução de cinco passos do lado do cliente é: (1) desativar a VPN, (2) desativar a aleatorização de MAC, (3) desativar o DoH/DNS seguro, (4) navegar para http://neverssl.com, (5) esquecer e voltar a ligar-se à rede. Estes cinco passos resolvem a grande maioria dos problemas de Captive Portal reportados pelos convidados sem necessidade de escalonamento para as TI.
✓Para a resolução de problemas do lado do operador, verifique sempre primeiro a utilização do pool de DHCP em eventos de alta densidade. Uma conferência de 2.000 pessoas com um pool de DHCP /24 e tempos de concessão de 24 horas esgotará todos os endereços IP em minutos, fazendo com que 100% das novas tentativas de ligação falhem antes mesmo de a sequência do Captive Portal começar.
✓O walled garden não é uma configuração estática. Os fornecedores de identidade social atualizam regularmente os seus domínios OAuth e gamas de IP de CDN. Utilize a monitorização de DNS com caracteres universais (wildcard) onde for suportado e agende auditorias trimestrais ao walled garden para evitar falhas silenciosas após alterações na infraestrutura do fornecedor.
✓O OpenRoaming (Passpoint/Hotspot 2.0), disponível sob a licença Connect da Purple, é a evolução estratégica além dos portais cativos. Elimina a reautenticação repetida para convidados que regressam, utilizando WPA3-Enterprise e 802.1X na Camada 2, proporcionando uma experiência de ligação contínua semelhante à rede móvel, ao mesmo tempo que mantém a conformidade de segurança de nível empresarial.

📚 Part of our core series: The Ultimate Guide to Captive Portals →

Resumo Executivo

Para os espaços empresariais modernos, as redes sem fios para convidados já não são uma simples comodidade; representam um ponto de contacto crítico para o envolvimento do cliente, inteligência operacional e posicionamento da marca. No entanto, o valor comercial destas redes depende inteiramente da fiabilidade da experiência de ligação inicial. Quando um convidado se liga a uma rede e a página de login do Captive Portal não aparece, o espaço sofre imediatamente com o aumento do atrito no atendimento ao público, um pico nos pedidos de suporte e a perda de oportunidades de recolha de dados.

Na base destas falhas está uma tensão fundamental entre as normas seguras da web e as técnicas de interceção ao nível da rede historicamente utilizadas pelos Captive Portals. Os navegadores web e sistemas operativos modernos foram concebidos para detetar e bloquear o redirecionamento de tráfego não autorizado para proteger os utilizadores de ataques man-in-the-middle (MitM). Ao compreender as sequências precisas de redirecionamento HTTP e DNS, o impacto de protocolos seguros como o HTTP Strict Transport Security (HSTS) e as definições do lado do cliente que perturbam estes mecanismos, as organizações de TI podem implementar configurações robustas que garantem uma integração sem falhas.

Este guia detalha como a plataforma de Guest WiFi gerida na nuvem da Purple aborda estes desafios para fornecer um redirecionamento de alta disponibilidade em todos os sistemas operativos de consumo, minimizando os custos de suporte do espaço e maximizando o retorno dos investimentos em infraestrutura sem fios. Quer esteja a implementar em ambientes de Hotelaria , Retalho , Saúde ou Transportes , os princípios e listas de verificação deste guia aplicam-se universalmente.

Análise Técnica Detalhada

Para resolver eficazmente as falhas do Captive Portal, os administradores de rede devem compreender a sequência exata de eventos que ocorre quando um dispositivo cliente se liga a uma rede WiFi para convidados aberta ou com chave pré-partilhada (PSK). Os sistemas operativos modernos — incluindo Apple iOS/macOS, Google Android, Microsoft Windows e distribuições Linux — não esperam que o utilizador abra um navegador para testar a conectividade à Internet. Em vez disso, executam um mecanismo automatizado de deteção ativa imediatamente após a conclusão das fases de associação e DHCP.

A Sequência de Deteção do Captive Portal

O processo de ligação e verificação segue uma sequência altamente estruturada:

Passo	Ação	Descrição Técnica	Indicador de Sucesso Esperado
1	Associação	O cliente associa-se ao SSID de convidados na Camada 2.	Troca bem-sucedida de tramas de associação 802.11.
2	Aprovisionamento de IP	O servidor DHCP atribui um endereço IP, máscara de sub-rede, gateway e servidor DNS local.	Pacote DHCP ACK recebido pelo cliente.
3	Active Probing	O serviço de segundo plano do SO envia um pedido HTTP GET não encriptado para um URL canário específico do fabricante.	HTTP 200 OK (Apple/Windows) ou HTTP 204 No Content (Google).
4	Interception & Redirect	O gateway/controlador sem fios intercepta a sonda HTTP e devolve um redirecionamento HTTP 302/303 que aponta para o portal.	Redirecionamento HTTP 302 para o FQDN do Captive Portal.
5	Portal Rendering	O motor de navegação do Captive Portal Assistant (CPA) abre e renderiza a splash page.	Renderização bem-sucedida da interface de início de sessão.

+--------+             +------------+             +------------+             +-------------------+
| Client |             | AP/Gateway |             | DNS Server |             | Captive Portal IP |
+--------+             +------------+             +------------+             +-------------------+
    |                        |                          |                              |
    |--- 1. DHCP Request ---&gt;|                          |                              |
    |&lt;-- 2. DHCP Ack --------|                          |                              |
    |    (IP &amp; DNS Assigned) |                          |                              |
    |--- 3. DNS Query ------&gt;|-------------------------&gt;|                              |
    |    (canary URL)        |                          |                              |
    |&lt;-- 4. DNS Response ----|&lt;-------------------------|                              |
    |    (Resolved IP)       |                          |                              |
    |--- 5. HTTP GET -------&gt;|                          |                              |
    |    (canary URL)        |                          |                              |
    |&lt;-- 6. HTTP 302 --------|                          |                              |
    |    (Redirect to Portal)|                          |                              |
    |--- 7. DNS Query ------&gt;|-------------------------&gt;|                              |
    |    (Portal FQDN)       |                          |                              |
    |&lt;-- 8. DNS Response ----|&lt;-------------------------|                              |
    |    (Portal IP)         |                          |                              |
    |--- 9. HTTP/S GET ------&gt;--------------------------------------------------------&gt;|
    |    (Render Splash Page)|                          |                              |
    |&lt;-- 10. Render Page &lt;-------------------------------------------------------------||

Cada sistema operativo utiliza um conjunto distinto de URLs canário e respostas esperadas para determinar o estado da rede. O Apple (iOS/macOS) sonda http://captive.apple.com/hotspot-detect.html esperando um documento HTML que contenha apenas a palavra Success tanto no título como no corpo. O Google (Android/ChromeOS) sonda http://connectivitycheck.gstatic.com/generate_204 esperando um código de estado HTTP 204 No Content com um corpo vazio. O Microsoft (Windows 10/11) sonda http://www.msftconnecttest.com/connecttest.txt esperando uma resposta em texto simples de Microsoft Connect Test.

Se o dispositivo receber a resposta esperada, conclui que a rede tem acesso direto e sem restrições à internet. Se a resposta for modificada — como, por exemplo, ao receber um redirecionamento HTTP 302 — o Captive Portal Assistant (CPA) do sistema operativo inicia imediatamente uma janela de navegador dedicada e isolada (sandbox) para exibir o destino do redirecionamento: a página de login do captive portal.

O Conflito de Redirecionamento HSTS e HTTPS

O método histórico de redirecionamento de captive portal baseia-se em desvio de DNS ou interceção de HTTP. Quando um utilizador não autenticado tenta navegar para qualquer website, o gateway intercepta o tráfego da porta TCP 80 (HTTP) ou porta 443 (HTTPS) e responde em nome do servidor de destino, injetando um redirecionamento HTTP 302. Embora isto funcionasse perfeitamente numa era de navegação web HTTP não encriptada, introduz graves desafios operacionais e de segurança nos ambientes modernos dominados por HTTPS.

O principal obstáculo é o HTTP Strict Transport Security (HSTS), um mecanismo de política de segurança web especificado no RFC 6797. O HSTS obriga os navegadores web a interagir com os websites utilizando apenas ligações HTTPS seguras. Quando um navegador tenta ligar-se a um domínio com HSTS ativado — como o Google, Facebook ou portais bancários —, proíbe estritamente qualquer comunicação não encriptada e impõe uma validação rigorosa do certificado SSL/TLS.

Se um gateway de captive portal tentar interceptar um pedido HTTPS para um domínio HSTS, deve apresentar o seu próprio certificado SSL ou um certificado falsificado ao cliente. Como o certificado do gateway não corresponde ao nome de domínio solicitado, o navegador do cliente deteta um ataque man-in-the-middle e exibe um aviso de segurança que não pode ser contornado (por exemplo, NET::ERR_CERT_COMMON_NAME_INVALID ou A sua ligação não é privada). O navegador bloqueia totalmente o redirecionamento, impedindo o carregamento da página do captive portal e deixando o utilizador com uma ligação interrompida.

To mitigate this, modern enterprise wireless networks utilize two advanced mechanisms. First, exempting OS probes ensures that the unencrypted HTTP probes sent by operating systems are never subjected to HTTPS interception; the gateway must allow the unencrypted HTTP probe to be redirected using a standard HTTP 302 response to the secure, fully-qualified domain name (FQDN) of the captive portal. Second, RFC 8910 (Captive Portal API) defines a mechanism where DHCP options (Option 114) or IPv6 Router Advertisements inform the client device of the exact URL of the captive portal API endpoint. Instead of relying on brute-force DNS hijacking or HTTP redirection, compatible client devices query this API directly to obtain the portal URL and network status, bypassing the HSTS conflict entirely.

Implementation Guide

Deploying a reliable captive portal requires careful coordination between the physical wireless infrastructure (Access Points, Controllers, Gateways) and the cloud-based portal platform. This section provides a vendor-neutral, step-by-step implementation guide to ensure robust redirection compatibility across enterprise networks, referencing standard configurations found in controllers from Cisco, Aruba, and Ruckus. For related access control architecture, see the guide on How to Implement 802.1X Authentication with Cloud RADIUS .

Step 1: Walled Garden (ACL) Configuration

A Walled Garden or Access Control List (ACL) defines the specific external domains, IP addresses, or subnets that an unauthenticated guest device is permitted to access before logging in. If the walled garden is configured incorrectly, the client device will be unable to resolve or load the captive portal assets, resulting in a blank screen or a timeout error.

To ensure seamless operation with Purple's platform, the walled garden must include the following components. Portal FQDNs are the fully-qualified domain names of the splash page hosting servers (e.g., *.purple.ai or regional variants). Identity Providers (IdPs) must be included if the portal supports social login — the walled garden must include the extensive list of domains used by these providers for OAuth authentication. Content Delivery Networks (CDNs) hosting CSS, JavaScript, fonts, or images used on the splash page must also be included.

Many modern controllers support wildcard domain names (e.g., *.purple.ai) in their walled garden configurations. The controller dynamically snoops DNS queries from unauthenticated clients; when a client queries a domain matching the wildcard, the controller temporarily adds the returned IP address to the client's pre-authentication allowlist. For legacy controllers that only support static IP addresses, administrators must configure a local DNS proxy or regularly update the static IP blocks associated with the cloud portal.

Step 2: DHCP and DNS Optimization

Como a deteção do Captive Portal depende fortemente do handshake inicial da rede, as configurações de DHCP e DNS devem ser otimizadas para ambientes transitórios de alta densidade. Em locais de grande afluência, como centros comerciais, interfaces de transporte ou estádios, a exaustão de endereços IP é uma causa comum de falha do Captive Portal. Se o tempo de concessão (lease time) do DHCP for definido como demasiado longo (por exemplo, 24 horas), o pool de IPs esgotar-se-á rapidamente, impedindo que novos convidados obtenham um endereço IP. Para redes de convidados, o tempo de concessão do DHCP deve ser configurado entre 15 a 30 minutos (900 a 1800 segundos).

Os dispositivos dos convidados devem ter atribuído um servidor DNS rápido e fiável, capaz de resolver tanto domínios públicos como o FQDN local do Captive Portal. Recomenda-se vivamente a utilização de resolvedores de DNS públicos de nível empresarial, como o Cloudflare 1.1.1.1 ou o Google 8.8.8.8, ou um reencaminhador DNS local de alto desempenho. Crucialmente, o gateway sem fios deve permitir que clientes não autenticados realizem a resolução de DNS. Se uma regra de firewall bloquear o tráfego da porta 53 (UDP/TCP) para utilizadores pré-autenticados, o SO do cliente não conseguirá resolver os URLs canário e o assistente do Captive Portal nunca será iniciado.

Passo 3: Gestão de Certificados SSL/TLS

Quando o dispositivo de um convidado é redirecionado para o Captive Portal, o navegador estabelece uma ligação HTTPS segura ao FQDN do portal. Para evitar ecrãs de aviso de certificado, o Captive Portal deve ser protegido com um certificado SSL/TLS válido e publicamente fidedigno. Os certificados autoassinados serão imediatamente bloqueados pelos sistemas operativos móveis modernos, impedindo o assistente do Captive Portal de renderizar a página. Se o mecanismo de redirecionamento exigir que o cliente comunique com o IP do gateway local (por exemplo, para vinculação local de MAC para IP), o gateway deve ter um certificado válido que corresponda ao seu FQDN local, e este FQDN deve ser resolúvel pelo DNS de convidados.

Boas Práticas

Para manter uma rede sem fios de convidados de alto desempenho que minimize os pedidos de suporte e maximize a satisfação do utilizador, os operadores de rede devem aderir às seguintes normas e boas práticas do setor.

1. Otimizar as Regras de Walled Garden para Logins Sociais

Ao utilizar opções de login social para recolher perfis de utilizadores, o walled garden deve ser meticulosamente mantido. As plataformas de redes sociais atualizam frequentemente os seus subdomínios de autenticação e gamas de IP de CDN. Se um único domínio obrigatório estiver em falta no walled garden, a janela pop-up de login social falhará ao carregar ou ficará bloqueada indefinidamente.

Fornecedor	Domínios Essenciais de Walled Garden
Google	`accounts.google.com`, `ssl.gstatic.com`, `fonts.gstatic.com`, `lh3.googleusercontent.com`
Facebook	`facebook.com`, `.facebook.com`, `.fbcdn.net`, `m.facebook.com`
Apple	`appleid.apple.com`, `appleid.cdn-apple.com`, `gsa.apple.com`

2. Transição para Autenticação Baseada em Perfis e OpenRoaming

Embora os Captive Portals sejam excelentes para a captura inicial de dados e aceitação dos termos de serviço, a repetição do processo de início de sessão a cada visita introduz fricção para o utilizador. As redes empresariais modernas estão a transitar cada vez mais para tecnologias de autenticação baseada em perfis e Passpoint (Hotspot 2.0), tais como o OpenRoaming.

Ao abrigo da licença Purple Connect , a Purple atua como um fornecedor de identidade gratuito para serviços OpenRoaming. O Passpoint permite que um convidado instale um perfil seguro no seu dispositivo durante a sua primeira visita. Nas visitas subsequentes a qualquer local aderente em todo o mundo, o dispositivo associa-se automática e seguramente à rede na Camada 2 utilizando a autenticação WPA3-Enterprise e 802.1X, ignorando completamente o Captive Portal. Isto proporciona uma experiência de roaming contínua, semelhante à rede móvel, mantendo uma transmissão de dados segura e encriptada. Para obter um guia de implementação detalhado, consulte Como Implementar a Autenticação 802.1X com Cloud RADIUS .

3. Garantir a Conformidade com os Quadros Regulamentares

As implementações de WiFi para convidados devem ser concebidas em estrita conformidade com as normas globais de privacidade e segurança de dados. Para a Conformidade com o GDPR / CCPA, o Captive Portal deve apresentar termos de serviço e políticas de privacidade claros e inequívocos. O consentimento para comunicações de marketing deve ser ativamente selecionado (não pré-assinalado) e os utilizadores devem dispor de um mecanismo simples para solicitar a eliminação de dados. Para a Conformidade com PCI DSS, se a rede de convidados coexistir na mesma infraestrutura física que os sistemas de Ponto de Venda (POS) do local, deve ser aplicada uma segmentação lógica rigorosa. A VLAN de convidados deve estar completamente isolada das VLANs de produção e de cartões de pagamento através de regras de firewall e ACLs. Para a segurança sem fios, implemente o Modo de Transição WPA3 para permitir que os dispositivos mais antigos se liguem utilizando WPA2-Personal, enquanto os dispositivos mais recentes beneficiam da segurança melhorada do WPA3, incluindo as Molduras de Gestão Protegidas (PMF).

Resolução de Problemas e Mitigação de Riscos

Quando são reportados problemas no WiFi de convidados, as operações do local e a equipa de atendimento ao público necessitam de uma sequência de diagnóstico clara e estruturada para identificar e resolver a causa raiz. As falhas no Captive Portal enquadram-se normalmente em duas categorias: configurações incorretas do lado do cliente e problemas de infraestrutura do lado do operador.

Lista de Verificação de Diagnóstico e Resolução do Lado do Cliente

Para a equipa de atendimento ao público que presta assistência aos convidados, siga estes passos por ordem.

1. Desative VPNs Ativas. As Redes Privadas Virtuais estabelecem um túnel encriptado do dispositivo cliente diretamente para um servidor remoto. Como o cliente VPN tenta encriptar e encaminhar todo o tráfego imediatamente após a ligação à rede, este ignora o desvio de DNS do gateway local e as regras de redirecionamento HTTP. O convidado deve desativar temporariamente a sua VPN para concluir o início de sessão no Captive Portal, após o qual a VPN pode ser reativada em segurança.

2. Desative os Endereços MAC Privados/Aleatórios. Os sistemas operativos modernos (iOS 14+ e Android 10+) ativam o Endereço Wi-Fi Privado ou a Aleatorização de MAC por predefinição para evitar a monitorização. Embora benéfica para a privacidade, esta funcionalidade faz com que o dispositivo apresente um endereço MAC diferente à rede em ligações subsequentes ou após um curto período de inatividade. Isto quebra a persistência da sessão baseada em MAC, forçando o convidado a autenticar-se repetidamente. Instrua o convidado a desativar o Endereço Privado para o SSID do local nas definições sem fios do seu dispositivo.

3. Ignore o DNS Seguro (DoH/DoT). Se o convidado tiver configurado um servidor DNS personalizado ou utilizar DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) nas definições do seu navegador, o navegador recusará aceitar as respostas de DNS desviadas do gateway local. O utilizador deve desativar temporariamente o DNS seguro nas definições do seu navegador ou limpar a cache de DNS do seu dispositivo para permitir que o redirecionamento local funcione.

4. Force uma Ligação HTTP Não Encriptada (NeverSSL). Se o assistente do Captive Portal não iniciar automaticamente, o navegador do convidado pode ficar bloqueado a tentar carregar uma página HTTPS. Instrua o convidado a abrir uma janela de navegador padrão e a navegar para http://neverssl.com. Como este website foi explicitamente concebido para nunca utilizar SSL/TLS, o gateway pode intercetar o pedido HTTP e injetar com sucesso o redirecionamento HTTP 302 para o ecrã de início de sessão de internet do convidado.

5. Esquecer e Voltar a Entrar na Rede. Se uma sessão de autenticação anterior tiver sido terminada de forma anormal, o dispositivo cliente pode reter dados de cache DHCP ou ARP desatualizados. Esquecer a rede nas definições sem fios e voltar a ligar força um handshake DHCP limpo e reinicia a sequência de deteção do Captive Portal.

Resolução de Problemas de Infraestrutura do Lado do Operador

Para administradores de rede que investigam problemas sistémicos onde múltiplos convidados reportam falhas no portal, devem ser efetuadas as seguintes verificações. Monitorizar a Utilização do Pool DHCP inspecionando o escopo DHCP no gateway ou router local; se o pool estiver 100% utilizado, reduza o tempo de concessão (lease time) para 5-10 minutos para recuperar rapidamente os endereços IP de convidados que já saíram. Verificar as Regras de Redirecionamento de DNS realizando uma captura de pacotes (PCAP) na interface do gateway para confirmar que os clientes não autenticados estão a enviar com sucesso consultas DNS para a porta 53 e a receber respostas. Auditar a Latência do Walled Garden para garantir que o walled garden está otimizado e que a resolução DNS para os domínios do walled garden está a fazer cache corretamente no controlador. Finalmente, verificar a Expiração do Certificado para garantir que o certificado SSL/TLS instalado no controlador sem fios ou gateway é válido, não expirou e está assinado por uma Autoridade de Certificação (CA) fidedigna.

ROI e Impacto no Negócio

Investir numa plataforma de Captive Portal robusta e gerida na nuvem como a Purple gera retornos financeiros e operacionais mensuráveis para locais empresariais. Ao resolver sistematicamente os problemas de início de sessão no Captive Portal, as organizações impactam diretamente tanto as receitas como os custos.

Redução nos Custos de Suporte e no Atrito do Convidado

Para locais de hotelaria e retalho, o pessoal de atendimento ao público despende frequentemente tempo valioso a resolver problemas de conectividade WiFi dos convidados. Uma taxa elevada de falhas no Captive Portal leva ao aumento da frustração dos convidados e a avaliações online negativas, a um elevado volume de pedidos de suporte de baixa complexidade encaminhados para a equipa de TI, e a ineficiências operacionais, uma vez que o pessoal de atendimento é desviado das suas funções principais. Ao implementar o mecanismo de redirecionamento robusto e compatível com várias plataformas da Purple, os locais registam tipicamente uma redução de 50% a 70% nas reclamações de suporte relacionadas com WiFi.

Maximização da Captura de Dados e do ROI de Marketing

O Captive Portal é a principal porta de entrada para capturar dados valiosos de clientes em primeira mão, incluindo endereços de e-mail, números de telefone e perfis de redes sociais. Quando um Captive Portal não carrega, o local perde a oportunidade de registar esse convidado. Com um portal funcional, os locais podem alcançar taxas de consentimento (opt-in) superiores a 60% para comunicações de marketing, aumentando rapidamente a sua base de dados de CRM de clientes. Ao integrar a autenticação de convidados com o WiFi Analytics , os operadores dos locais obtêm informações detalhadas sobre o comportamento dos visitantes, incluindo tempos de permanência, taxas de retorno e padrões de tráfego pedonal em diferentes zonas.

Desbloquear Oportunidades de Retail Media e Monetização

Para locais de grande escala, como centros comerciais, estádios e centros de exposições, o captive portal representa um espaço digital premium. Ao utilizar a splash page e os ecrãs de redirecionamento pós-login, os operadores podem aceder ao mercado em rápido crescimento de Retail Media. Apresente anúncios altamente direcionados e sensíveis à localização aos visitantes no momento exato em que se ligam, ou venda pacotes de patrocínio a marcas, transformando um centro de custos de TI tradicional num ativo direto gerador de receita.

Referências

[1] Colaboradores da Wikipedia. "Captive Portal." Wikipedia, The Free Encyclopedia. https://en.wikipedia.org/wiki/Captive_portal

[2] IETF RFC 6797. "HTTP Strict Transport Security (HSTS)." Internet Engineering Task Force. https://datatracker.ietf.org/doc/html/rfc6797

[3] IETF RFC 8910. "Captive-Portal Identification in DHCP and Router Advertisements." Internet Engineering Task Force. https://datatracker.ietf.org/doc/html/rfc8910

[4] Wireless Broadband Alliance. "OpenRoaming." WBA. https://wballiance.com/openroaming/

[5] NeverSSL. "NeverSSL: Helping you get online." NeverSSL. http://neverssl.com/

Definições Principais

Captive Portal

Uma página web apresentada a utilizadores recém-ligados de uma rede de convidados antes de lhes ser concedido um acesso mais amplo à internet. O portal exige normalmente autenticação (e-mail, início de sessão social ou código de voucher), aceitação dos termos de serviço, ou ambos. É o principal mecanismo para a captura de dados de convidados em implementações de WiFi empresariais.

As equipas de TI deparam-se com os captive portals como o primeiro ponto de falha nas reclamações de WiFi de convidados. Compreender a arquitetura técnica do portal é essencial para diagnosticar por que razão a página de início de sessão não aparece.

DNS Hijacking

Uma técnica utilizada por gateways de Captive Portal onde o servidor DNS local devolve o endereço IP do servidor do Captive Portal em resposta a todas as consultas DNS de clientes não autenticados, independentemente do domínio real que está a ser consultado. Isto força o navegador do cliente a ligar-se ao portal em vez do destino pretendido.

O DNS hijacking é o mecanismo central por trás da maioria das implementações de redirecionamento de Captive Portal. É eficaz para o tráfego HTTP, mas é bloqueado por configurações de DNS-over-HTTPS (DoH) e DNS-over-TLS (DoT) nos dispositivos dos clientes.

HTTP Strict Transport Security (HSTS)

Um mecanismo de política de segurança web (RFC 6797) que instrui os navegadores a comunicarem apenas com um website utilizando HTTPS, e a recusarem quaisquer ligações HTTP ou ligações com certificados SSL inválidos. Assim que um navegador recebe um cabeçalho HSTS de um domínio, aplica esta política durante um período especificado (max-age), mesmo que o utilizador introduza manualmente um URL HTTP.

O HSTS é a principal razão pela qual os redirecionamentos de Captive Portal falham em dispositivos modernos. Quando um gateway tenta intercetar um pedido HTTPS para um domínio com HSTS ativado, o navegador deteta a incompatibilidade de certificado e bloqueia o redirecionamento, impedindo o carregamento do portal.

Captive Portal Assistant (CPA)

Um processo de navegador leve e isolado (sandbox) integrado em sistemas operativos modernos (CNA da Apple, CPA do Android, NCSI do Windows) que se inicia automaticamente quando o SO deteta que está atrás de um Captive Portal. O CPA renderiza a splash page num ambiente restrito que impede o portal de aceder às credenciais do dispositivo ou ao armazenamento persistente.

O CPA é o que faz com que a página de início de sessão apareça automaticamente na maioria dos dispositivos. Se o CPA falhar ao iniciar (por exemplo, devido a uma VPN ou DoH), o convidado deve navegar manualmente para o URL do portal.

Walled Garden

Uma Lista de Controlo de Acesso (ACL) de pré-autenticação que define os domínios externos, endereços IP ou sub-redes específicos que os dispositivos de convidados não autenticados têm permissão para aceder antes de concluírem o início de sessão no Captive Portal. Os recursos fora do walled garden são bloqueados até que a autenticação seja concluída.

Um walled garden incorretamente configurado é uma das causas mais comuns de falhas no Captive Portal, particularmente para fluxos de início de sessão social que requerem acesso a múltiplos domínios OAuth de terceiros.

MAC Address Randomization

Uma funcionalidade de privacidade em sistemas operativos móveis modernos (iOS 14+, Android 10+) que faz com que o dispositivo apresente um endereço MAC gerado aleatoriamente a cada rede WiFi a que se liga, em vez do seu endereço MAC atribuído pelo hardware. O endereço randomizado também pode mudar periodicamente enquanto estiver ligado.

A randomização de MAC quebra a persistência da sessão do Captive Portal porque o gateway utiliza o endereço MAC para monitorizar os clientes autenticados. Quando o MAC muda, o gateway trata o dispositivo como um cliente novo e não autenticado, forçando a reautenticação.

RFC 8910 (Captive Portal API)

Uma norma IETF que define um mecanismo para as redes informarem os dispositivos dos clientes sobre a presença e o URL de um Captive Portal utilizando a Opção DHCP 114 (para IPv4) ou opções de Anúncio de Router IPv6. Os dispositivos compatíveis consultam diretamente o endpoint da API anunciado para determinar o estado da sua rede e obter o URL do portal, eliminando a necessidade de DNS hijacking.

A RFC 8910 é a alternativa moderna e em conformidade com as normas ao DNS hijacking para a deteção de Captive Portal. Resolve o conflito de HSTS ao comunicar o URL do portal na camada de rede, em vez de tentar intercetar o tráfego HTTP/HTTPS.

DNS-over-HTTPS (DoH)

Um protocolo que encripta consultas DNS enviando-as através de uma ligação HTTPS para um resolvedor fidedigno (como o Cloudflare 1.1.1.1 ou Google 8.8.8.8), em vez de as enviar como pacotes UDP em texto simples para o servidor DNS atribuído à rede. Isto impede o gateway local de intercetar ou desviar as respostas DNS.

O DoH está cada vez mais ativado por predefinição nos navegadores modernos (Chrome, Firefox, Edge) e sistemas operativos. Quando o DoH está ativo, o mecanismo de DNS hijacking do Captive Portal é contornado, e o ecrã de início de sessão na internet para convidados não aparecerá automaticamente.

NeverSSL

Um website de utilidade pública (http://neverssl.com) explicitamente concebido para nunca utilizar encriptação SSL/TLS. Serve como um acionador manual fiável para redirecionamentos de Captive Portal porque o gateway pode sempre intercetar o seu pedido HTTP não encriptado e injetar um redirecionamento 302 para la página de início de sessão do portal.

O NeverSSL é a solução manual recomendada quando o dispositivo de um convidado não apresenta automaticamente a página de início de sessão do Captive Portal. A equipa de atendimento ao público deve ser instruída a direcionar os convidados para este URL como um primeiro passo de resolução.

OpenRoaming (Passpoint/Hotspot 2.0)

Uma norma global de roaming WiFi desenvolvida pela Wireless Broadband Alliance (WBA) que permite aos dispositivos autenticarem-se de forma automática e segura em redes WiFi participantes utilizando um perfil de credenciais pré-instalado, sem necessitar de interação manual com o Captive Portal. A autenticação utiliza os protocolos WPA3-Enterprise e 802.1X.

O OpenRoaming é a evolução a longo prazo além dos captive portals para WiFi de convidados empresarial. Sob a licença Connect da Purple, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming, permitindo que os convidados frequentes contornem totalmente o Captive Portal em visitas subsequentes.

Exemplos Práticos

A 350-room city-centre hotel has deployed a Purple-powered guest WiFi network across all floors and public areas. The front desk is receiving 15-20 complaints per day from guests whose captive portal login page is not loading. The hotel uses Cisco Catalyst 9800 wireless controllers and a Cisco ISR 4331 router. Initial investigation shows the issue is most common on iPhones running iOS 17 and Android 13 devices. How should the network architect diagnose and resolve this?

Begin with a structured four-layer diagnostic. Layer 1 (DHCP): Log into the Cisco ISR 4331 and run show ip dhcp pool and show ip dhcp binding. Check the total number of active bindings against the pool size. If utilization exceeds 85%, the pool is near exhaustion. Reduce the lease time from the default 1 day to 1800 seconds (30 minutes) using ip dhcp pool GUEST_WIFI and lease 0 0 30. Layer 2 (DNS): On the Catalyst 9800, verify that the pre-authentication ACL (used for the captive portal SSID) permits UDP and TCP port 53 traffic to the assigned DNS servers. Run a packet capture on the guest VLAN interface to confirm DNS queries are being answered. Layer 3 (Walled Garden): Navigate to the Catalyst 9800 GUI under Configuration > Tags & Profiles > Policy. Inspect the URL Filter list associated with the guest SSID. Confirm that *.purple.ai, accounts.google.com, *.facebook.com, appleid.apple.com, and all associated CDN domains are included. Enable DNS snooping on the URL filter to allow wildcard domain resolution. Layer 4 (iOS-Specific): iOS 17 devices use captive.apple.com/hotspot-detect.html as their probe URL. Confirm the Catalyst 9800 is intercepting this HTTP request and returning an HTTP 302 redirect to the Purple portal FQDN (e.g., https://portal.purple.ai). Verify the Purple portal certificate is valid and not self-signed. If the redirect is going to the controller's local IP instead of the cloud portal FQDN, update the external redirect URL in the SSID configuration.

Comentário do Examinador: Este cenário é representativo do padrão mais comum de falha de captive portal empresarial: uma combinação de esgotamento de DHCP num ambiente de alta densidade e um walled garden incompleto. A abordagem de diagnóstico em quatro camadas é crítica porque os sintomas são frequentemente idênticos em todos os modos de falha — a página de login simplesmente não aparece. Passar diretamente para as correções de walled garden sem verificar primeiro o DHCP é um erro comum que desperdiça tempo significativo. A verificação específica para iOS é importante porque o Assistente de Captive Portal da Apple é mais rigoroso do que o do Android; ele recusará renderizar uma página de portal se o destino de redirecionamento usar um certificado autoassinado ou se o FQDN do portal não for resolvível através do servidor DNS atribuído. Uma abordagem alternativa para esta implementação seria ativar a Opção DHCP 114 do RFC 8910 no ISR 4331, o que permitiria que dispositivos iOS 16+ e Android 12+ detetassem o portal através do URL da API anunciado por DHCP, contornando totalmente o mecanismo de desvio de DNS e resolvendo o conflito de HSTS na raiz.

A national retail chain with 120 stores has deployed guest WiFi using Aruba Instant APs managed via Aruba Central. The marketing team reports that the 'Login with Google' social login option on the captive portal is failing for approximately 30% of guests. The plain email login option works correctly. The issue appears intermittently and is more common in stores that recently had their Aruba firmware updated. How should the network and IT team investigate this?

The intermittent failure of social login while email login succeeds is a classic walled garden domain coverage issue, likely exacerbated by a firmware update that reset or altered the pre-authentication ACL. Proceed as follows. Step 1 — Reproduce and Capture: At an affected store, connect a test device to the guest SSID and attempt a Google login. Open the browser developer tools (F12 > Network tab) before clicking 'Login with Google'. Note any failed requests — these will show as red entries with status codes such as ERR_CONNECTION_REFUSED or ERR_NAME_NOT_RESOLVED. These failed domains are the missing walled garden entries. Step 2 — Audit Aruba Central Walled Garden: Log into Aruba Central and navigate to the SSID configuration for the guest network. Review the Walled Garden / Whitelist entries. Google's OAuth flow requires at minimum: accounts.google.com, ssl.gstatic.com, fonts.gstatic.com, www.gstatic.com, lh3.googleusercontent.com, and oauth2.googleapis.com. After a firmware update, Aruba Central may have reverted to a template-based configuration that omitted some of these entries. Step 3 — Enable DNS Snooping: In Aruba Central, enable DNS-based whitelisting for the guest SSID. This allows the AP to dynamically resolve and whitelist IP addresses returned for domains matching the configured wildcard patterns (e.g., *.google.com, *.gstatic.com). This is more resilient than static IP whitelisting as Google's CDN IPs change frequently. Step 4 — Validate and Roll Out: Test the fix at the pilot store, confirm Google login success rate reaches 95%+, then push the updated configuration to all 120 stores via Aruba Central's group policy deployment.

Comentário do Examinador: Este cenário destaca um risco operacional crítico em implementações empresariais de grande escala: atualizações de firmware que redefinem silenciosamente as configurações de segurança ou de controlo de acesso. A principal perceção de diagnóstico é que o login por e-mail funciona, mas o login social falha — isto reduz imediatamente a causa raiz ao walled garden, em vez de problemas de DHCP, DNS ou de certificado. O uso de ferramentas de programador do navegador para identificar domínios em falta é uma técnica prática e de baixo custo que a equipa de TI de primeira linha pode usar sem necessitar de equipamento de captura de pacotes. A recomendação de usar DNS snooping com padrões wildcard em vez de listas brancas de IPs estáticos é a solução correta a longo prazo para fornecedores de identidade social baseados na nuvem, uma vez que as suas gamas de IP não são estáticas e estão documentadas apenas como blocos CIDR amplos. Para uma discussão mais ampla sobre controlo de acesso à rede em ambientes de retalho, consulte o guia [10 Best Network Access Control (NAC) Solutions for 2026](/blog/best-network-access-control).

Perguntas de Prática

Q1. Um centro de conferências que acolhe um evento com 2.000 delegados relata que 40% dos participantes não conseguem fazer com que a página de login do WiFi de convidados apareça nos seus dispositivos. O evento começou há 30 minutos. A infraestrutura sem fios utiliza controladores Ruckus SmartZone. Qual é a causa raiz mais provável e qual é a resolução mais rápida?

Dica: Considere a escala do evento (2.000 ligações simultâneas) e o tempo decorrido desde o início do evento. Pense em qual recurso de rede tem maior probabilidade de se esgotar nos primeiros 30 minutos de um evento de alta densidade.

Ver resposta modelo

A causa raiz mais provável é o esgotamento do pool de DHCP. Com 2.000 delegados a tentar ligar-se simultaneamente em 30 minutos, o pool de endereços DHCP para a VLAN de convidados foi quase certamente esgotado, especialmente se o tempo de concessão (lease time) estivesse definido para o padrão de 8 ou 24 horas. Os delegados que não conseguem obter um endereço IP não verão nenhuma página de login porque a sequência de deteção do Captive Portal não pode começar sem uma atribuição de IP válida. A resolução mais rápida é iniciar sessão no controlador Ruckus SmartZone, navegar até à configuração do servidor DHCP para a VLAN de convidados e reduzir o tempo de concessão para 5-10 minutos para forçar a recuperação rápida de endereços de delegados que já saíram ou se desligaram. Adicionalmente, verifique se o tamanho do pool de DHCP é suficiente para o número de utilizadores concorrentes esperado — um pool de 254 endereços (sub-rede /24) é insuficiente para 2.000 delegados. Expanda o pool para uma sub-rede /22 ou /21 (1.022 ou 2.046 endereços), se possível. Como verificação secundária, confirme se a ACL de pré-autenticação no SmartZone permite consultas DNS (porta 53) de clientes não autenticados, uma vez que o tráfego DNS de alto volume pode, por vezes, acionar regras de limitação de taxa (rate-limiting).

Q2. O gestor de TI de um hotel recebe uma reclamação de um hóspede alojado no quarto 412. O hóspede afirma que a página de login do WiFi apareceu brevemente, introduziu o seu endereço de email e aceitou os termos, mas agora está a ser solicitado a iniciar sessão novamente a cada 10-15 minutos. Outros hóspedes no mesmo piso não estão a reportar este problema. O hóspede está a utilizar um iPhone 15 com iOS 17. Qual é a causa e resolução mais provável?

Dica: O problema é específico de um único dispositivo e envolve reautenticações repetidas em intervalos curtos. Considere o que o iOS 17 faz por predefinição com os endereços MAC em redes WiFi e como o gateway sem fios do hotel monitoriza as sessões autenticadas.

Ver resposta modelo

A causa mais provável é a aleatoriedade do endereço MAC. O iOS 14 e posterior ativam o Endereço Wi-Fi Privado por predefinição, o que faz com que o iPhone apresente um endereço MAC gerado aleatoriamente a cada rede. No iOS 17, o MAC aleatório pode rodar periodicamente (aproximadamente a cada 24 horas) ou a cada nova associação de rede. O gateway sem fios do hotel monitoriza as sessões de convidados autenticadas por endereço MAC; quando o endereço MAC muda, o gateway trata o dispositivo como um cliente novo e não autenticado e bloqueia o acesso à internet, acionando o Captive Portal novamente. A resolução para o hóspede é desativar o Endereço Privado para o SSID do hotel: aceder a Definições > Wi-Fi, tocar no ícone (i) ao lado do SSID do hotel e desativar o Endereço Wi-Fi Privado. O dispositivo irá ligar-se novamente com o seu endereço MAC de hardware e a sessão irá persistir sem reautenticações repetidas. Como mitigação a longo prazo do lado do operador, o hotel deve considerar a implementação de persistência de sessão baseada no endereço IP (além do MAC) ou a transição para OpenRoaming/Passpoint para hóspedes frequentes, o que elimina completamente o problema de reautenticação no Captive Portal.

Q3. A equipa de TI de uma cadeia de retalho configurou um novo Captive Portal utilizando a Purple. O walled garden foi configurado com o domínio do portal e os domínios principais dos fornecedores de login social. Durante os testes, a página do portal carrega corretamente e a opção de login por email funciona, mas quando um testador clica em 'Login com Google', um popup de início de sessão da Google aparece brevemente e depois fecha-se sem concluir a autenticação. O testador está a utilizar um Samsung Galaxy S23 com Android 13 e o navegador Chrome. O que deve a equipa de TI investigar?

Dica: O popup da Google aparece mas fecha-se sem concluir — isto significa que o redirecionamento OAuth inicial para a Google está a funcionar, mas algo está a falhar durante o callback de autenticação ou troca de tokens. Considere quais os domínios envolvidos no fluxo completo do Google OAuth 2.0 além de accounts.google.com.

Ver resposta modelo

O sintoma — o popup da Google aparecer mas fechar-se sem concluir — indica que o redirecionamento OAuth inicial para a Google está a ser bem-sucedido (accounts.google.com está no walled garden), mas um ou mais dos domínios subsequentes de callback OAuth ou de troca de tokens estão a ser bloqueados. O fluxo do Google OAuth 2.0 para aplicações web envolve múltiplos domínios além de accounts.google.com. A equipa de TI deve abrir o Chrome DevTools no dispositivo de teste (ou utilizar um navegador de desktop para simular o fluxo), clicar em Login com Google e observar o separador Network para identificar quaisquer pedidos falhados. Os domínios em falta mais comuns incluem: oauth2.googleapis.com (endpoint de token), www.googleapis.com (chamadas de API), ssl.gstatic.com e fonts.gstatic.com (CDN da Google para os recursos da página de início de sessão) e lh3.googleusercontent.com (carregamento da imagem de perfil, que pode fazer com que o popup bloqueie). Adicione todos os domínios em falta identificados ao walled garden na configuração do controlador Aruba/Cisco/Ruckus, utilizando padrões wildcard (*.googleapis.com, *.gstatic.com) onde o controlador suporte DNS snooping. Teste novamente após cada adição para isolar o domínio de bloqueio específico. Assim que o fluxo completo do Google OAuth for concluído com sucesso, valide a correção em dispositivos Android e iOS antes de implementar em produção.

Continue a ler esta série

How to Set Up a Captive Portal on Starlink: A Guide for Remote & Maritime Venues

Este guia detalha como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, impor a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.

Captive Portal Best Practices: Designing for High Conversion and Compliance

Este guia técnico oferece aos gestores de TI, arquitetos de rede e diretores de operações de espaços comerciais um plano completo para implementar portais cativos que equilibram a segurança de rede com uma elevada conversão de utilizadores. Abrange toda a arquitetura, desde a segmentação de VLAN e autenticação RADIUS até ao design de consentimento em conformidade com o GDPR e à seleção do método de autenticação. Com base na experiência operacional da Purple em mais de 80.000 locais e 440 milhões de inícios de sessão em 2024, cada recomendação é fundamentada em dados reais de implementação.

Como Otimizar Captive Portals para a Máxima Segurança de Rede e Conversão de Utilizadores

Este guia fornece um plano técnico completo para otimizar captive portals em locais empresariais, abrangendo a arquitetura de segmentação de rede, a seleção do método de autenticação, o design de consentimento em conformidade com o GDPR e a otimização da conversão. Foi escrito para gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios e organizações do setor público que precisam de equilibrar a segurança de rede com a captura de dados primários (first-party). A Purple opera infraestruturas de captive portal em mais de 80.000 locais com 440 milhões de inícios de sessão em 2024, e as estruturas aqui apresentadas refletem essa experiência operacional.