Resolução de Problemas em WiFi Público: Como Resolver 'Ligado, Sem Internet' e Falhas de Redirecionamento da Página de Splash
Este guia de referência técnica autoritário explica os mecanismos subjacentes de deteção de Captive Portal e detalha os seis principais modos de falha que impedem a ligação ao WiFi de convidados. Fornece aos gestores de TI e arquitetos de rede uma estrutura prática de resolução de problemas para resolver falhas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada: Como Funciona Realmente a Deteção de Captive Portal
- Resolução de Problemas e Mitigação de Riscos: As 6 Causas Principais de Falha
- 1. Esgotamento do Pool DHCP
- 2. Falha de Interceção de DNS
- 3. Walled Garden Incompleto
- 4. Bloqueio de Redireção HSTS
- 5. VPN Ativa no Dispositivo Cliente
- 6. Persistência de Sessão Interrompida pela Randomização de Endereços MAC
- Guia de Implementação: Construir uma Arquitetura Resiliente
- ROI e Impacto Empresarial
- Podcast de Apresentação Técnica
Resumo Executivo

Um convidado liga-se ao seu WiFi, mas a página de início de sessão não carrega. Vê um aviso de "Ligado, Sem Internet" e desiste. Para Diretores de Operações de Espaços e Gestores de TI, esta falha representa uma degradação direta da experiência do convidado, um aumento nos pedidos de suporte e uma oportunidade perdida de recolher dados primários, o que justifica o investimento na infraestrutura sem fios.
Este guia explica exatamente como funciona a deteção de Captive Portal ao nível do sistema operativo e identifica as seis causas principais responsáveis pela maioria das falhas de ligação. Fornece uma estrutura de resolução de problemas prática e neutra em termos de fornecedor para resolver a exaustão de DHCP, falhas de interceção de DNS, walled gardens incompletos, redirecionamentos HSTS bloqueados, conflitos de VPN ativos e problemas de aleatorização de endereços MAC.
Análise Técnica Detalhada: Como Funciona Realmente a Deteção de Captive Portal
Para resolver problemas num captive portal, deve primeiro compreender o que um captive portal realmente faz ao nível da rede. Não se trata apenas de uma página de início de sessão; é um mecanismo de interceção de tráfego ao nível da rede.
Quando um dispositivo convidado se junta a um SSID de convidado, recebe um endereço IP via DHCP. O sistema operativo não espera que o utilizador abra um navegador. Em vez disso, um serviço de sistema em segundo plano envia imediatamente um pedido HTTP GET não encriptado para um URL de teste controlado pelo fabricante. Os dispositivos Apple consultam captive.apple.com. Os dispositivos Android consultam connectivitycheck.gstatic.com. Os dispositivos Windows consultam msftconnecttest.com. O Firefox consulta detectportal.firefox.com.
Se a rede tiver acesso aberto à internet, estes testes devolvem a resposta HTTP 200 OK esperada e o sistema operativo decide que a ligação está ativa. No entanto, numa rede de convidados, o gateway ou controlador sem fios intercepta este teste HTTP antes que ele possa chegar à internet. Em vez da resposta esperada, o gateway devolve um HTTP 307 Temporary Redirect a apontar para a splash page do captive portal. O sistema operativo deteta este redirecionamento inesperado, compreende que está atrás de um captive portal e abre uma janela de navegador isolada (Captive Network Assistant) para exibir a página de início de sessão.

Resolução de Problemas e Mitigação de Riscos: As 6 Causas Principais de Falha
Quando um captive portal não carrega, o problema é quase sempre causado por um de seis modos de falha específicos.

1. Esgotamento do Pool DHCP
Este é um obstáculo silencioso em eventos de alta densidade. Se estiver a organizar uma conferência com 2000 participantes e a utilizar uma sub-rede /24 padrão, terá apenas 254 endereços IP utilizáveis. Se o tempo de concessão (lease time) do seu DHCP estiver configurado para o padrão de 24 horas, o seu pool ficará esgotado minutos após a abertura das portas. Todas as tentativas de ligação subsequentes falharão antes mesmo de a sequência do Captive Portal começar.
Solução: Defina os tempos de concessão do DHCP para convidados entre 15 e 30 minutos em ambientes de elevada rotação. Dimensione as suas sub-redes com base no pico de utilizadores simultâneos, e não apenas na média de presenças. Uma sub-rede /22 fornece 1022 endereços utilizáveis, o que é o tamanho mínimo recomendado para recintos empresariais.
2. Falha de Interceção de DNS
A redireção do Captive Portal baseia-se na interceção de um teste HTTP por parte do gateway. No entanto, esse teste requer primeiro uma consulta DNS. Se a sua configuração de DNS não permitir que os clientes pré-autenticados resolvam nomes de domínio externos, o teste nunca será acionado.
Solução: Certifique-se de que as políticas da sua firewall permitem explicitamente consultas DNS (porta 53) de clientes não autenticados. Execute uma captura de pacotes num dispositivo de teste para verificar se a sua interceção de DNS está a funcionar corretamente.
3. Walled Garden Incompleto
O walled garden (lista de controlo de acessos de pré-autenticação) define quais os domínios externos a que os convidados não autenticados podem aceder. Se a splash page do seu portal carregar recursos de uma CDN que não esteja incluída no walled garden, a página será apresentada em branco. Se disponibilizar inícios de sessão sociais através do Google, Apple ou Microsoft Entra ID, todos os domínios OAuth utilizados por esses fornecedores têm de constar na lista de permissões. Os fornecedores de identidade social atualizam regularmente os seus intervalos de IP de CDN e domínios de autenticação; um walled garden que funcionava perfeitamente há seis meses pode deixar de funcionar de um dia para o outro.
Solução: Agende auditorias trimestrais ao seu walled garden. Sempre que o seu hardware o suporte, utilize a deteção de domínios com caracteres universais (wildcards), que está disponível nativamente em equipamentos Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. A Purple mantém e atualiza automaticamente estas entradas do walled garden como parte do nosso serviço gerido na cloud.
4. Bloqueio de Redireção HSTS
O HTTP Strict Transport Security (HSTS) é uma política de segurança dos navegadores que força as ligações a domínios específicos exclusivamente através de HTTPS. Se um dispositivo convidado tentar comunicar com um domínio pré-carregado com HSTS, e o seu gateway tentar intercetar esse pedido HTTPS para redirecionar para o portal, o navegador deteta uma incompatibilidade de certificado. Isto exibe um aviso de segurança incontornável e bloqueia totalmente a redireção.
Solução: Nunca tente efetuar a interceção de HTTPS para o redirecionamento inicial. Garanta que o seu gateway apenas redireciona sondas HTTP não encriptadas. A solução a longo prazo baseada em normas é o RFC 8910, que define a Opção DHCP 114. Esta opção permite que o seu servidor DHCP anuncie o URL do Captive Portal diretamente ao dispositivo cliente, ignorando completamente a necessidade de redirecionamento HTTP. O iOS 14 e o Android 11 e superiores suportam esta funcionalidade nativamente.
5. VPN Ativa no Dispositivo Cliente
Uma VPN encripta todo o tráfego do dispositivo e encaminha-o através de um túnel externo antes de este chegar ao seu gateway. O seu gateway nunca vê a sonda HTTP, pelo que a sequência de deteção do Captive Portal nunca é acionada. Os convidados não veem a página de início de sessão nem a internet.
Solução: O convidado deve desativar a VPN, ligar-se ao portal e, em seguida, voltar a ativar a VPN. Para a equipa de atendimento ao público, perguntar se o convidado está a utilizar uma VPN deve ser o primeiro passo na resolução de problemas.
6. Persistência de Sessão Interrompida pela Randomização de Endereços MAC
Os dispositivos modernos iOS e Android utilizam endereços MAC randomizados por predefinição como uma funcionalidade de privacidade. Sempre que um dispositivo se liga a uma rede, pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é monitorizado pelo endereço MAC, um convidado autenticado há uma hora pode deparar-se novamente com a página de início de sessão após a alteração do MAC do seu dispositivo.
Solução: A solução para os convidados é desativar o Endereço Privado para o seu SSID específico nas definições de rede. A solução do lado do operador consiste em implementar a autenticação baseada em perfis, como o Passpoint e o OpenRoaming através de 802.1X, que autentica na Camada 2 utilizando credenciais em vez de endereços MAC, tornando a randomização irrelevante.
Guia de Implementação: Construir uma Arquitetura Resiliente
A implementação de um Captive Portal bem configurado requer decisões arquiteturais ativas.
- Verifique o seu walled garden antes de cada evento importante. As entradas mínimas necessárias são: o FQDN do seu portal e todos os domínios CDN associados, os URL de deteção de Captive Portal da Apple, Google, Windows e Firefox, e os domínios OAuth para cada fornecedor de início de sessão social que suporte.
- Utilize um certificado TLS publicamente fidedigno. Os certificados autoassinados acionarão avisos do browser em todos os dispositivos. Renove os certificados antes que expirem; um certificado expirado é uma das causas mais comuns de falhas repentinas do portal em todo o espaço.
- Teste a partir de um estado novo e não autenticado. Testar o portal a partir de um dispositivo previamente autenticado contornará o portal por completo porque a sessão ainda está ativa. Teste sempre a partir de um novo dispositivo ou de um dispositivo onde tenha esquecido a rede e eliminado o perfil de WiFi.
- Ajuste os tempos limite de inatividade (idle timeouts). Muitos controladores predefinem um tempo limite de inatividade de 5 minutos, o que é altamente agressivo para dispositivos móveis que entram em modo de suspensão entre interações. Defina o tempo limite de inatividade para pelo menos 30 minutos em ambientes de hotelaria e retalho.
ROI e Impacto Empresarial
Os Captive Portals são uma tecnologia madura, mas apresentam algumas complexidades inerentes. O objetivo estratégico é avançar para uma autenticação fluida e segura.
O OpenRoaming, baseado em Passpoint e 802.1X, ajuda os visitantes frequentes a ligarem-se automática e seguramente sem verem qualquer página de login. Sob o nosso plano Connect, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming. Locais como o Premier Inn e o Manchester Airports Group já o utilizam para eliminar o incómodo da reautenticação para visitantes repetidos, mantendo a total conformidade com o GDPR e a recolha de dados primários. Ao reduzir as falhas de ligação, pode aumentar diretamente o volume de dados primários recolhidos, impulsionando a fidelização dos clientes e o envolvimento personalizado.
Podcast de Apresentação Técnica
Oiça uma análise detalhada destes passos de resolução de problemas pelo nosso Senior Solutions Architect na nossa apresentação técnica de 10 minutos.
}```_
Definições Principais
Captive Portal
Um mecanismo de interceção de tráfego ao nível da rede que restringe o acesso à internet até que o utilizador realize uma ação obrigatória, como aceitar os termos ou introduzir credenciais numa página de Splash.
O método principal para locais empresariais protegerem o acesso de convidados e recolherem dados primários.
Walled Garden
Uma lista de controlo de acesso pré-autenticação que define quais os endereços IP externos ou domínios que um dispositivo de convidado não autenticado tem permissão para aceder.
Crucial para permitir o acesso a recursos do portal, CDNs e fornecedores de identidade OAuth antes de o utilizador estar totalmente autenticado.
Captive Network Assistant (CNA)
Uma janela de navegador em sandbox e com funcionalidade limitada, aberta automaticamente pelo sistema operativo quando este deteta um redirecionamento de Captive Portal.
Esta é a interface onde o convidado realmente vê e interage com a sua página de início de sessão.
HSTS (HTTP Strict Transport Security)
Um mecanismo de política de segurança web que ajuda a proteger os sites contra ataques de man-in-the-middle, forçando os navegadores a interagir com os mesmos apenas através de ligações HTTPS seguras.
O HSTS impede que os gateways utilizem a interceção HTTPS para redirecionar utilizadores para um Captive Portal, causando falhas de ligação se configurado incorretamente.
Exaustão do Pool de DHCP
Um estado em que um servidor DHCP atribuiu todos os endereços IP disponíveis na sua sub-rede configurada, impedindo que novos dispositivos se associem à rede.
Uma causa comum de erros 'Ligado, Sem Internet' em ambientes de alta densidade como estádios ou conferências.
Randomização de Endereço MAC
Uma funcionalidade de privacidade nos sistemas operativos móveis modernos que gera um endereço MAC aleatório para cada rede WiFi, impedindo a monitorização em diferentes localizações.
Esta funcionalidade quebra a persistência de sessão nos Captive Portals, forçando os convidados a autenticarem-se novamente se o seu endereço MAC for alterado.
OpenRoaming
Uma federação de redes WiFi que permite aos utilizadores ligarem-se automática e seguramente a redes aderentes sem introduzir credenciais ou interagir com um captive portal.
O sucessor estratégico dos portais de captive portal para visitantes recorrentes, suportado pela Purple como um fornecedor de identidade gratuito.
RFC 8910 (DHCP Option 114)
Um padrão que permite a um servidor DHCP fornecer diretamente o URL do captive portal ao dispositivo cliente durante a atribuição do endereço IP.
Isto evita totalmente a necessidade de redirecionamento HTTP, resolvendo problemas causados pelo HSTS e melhorando a velocidade de deteção do portal.
Exemplos Práticos
Um hotel de 350 quartos no centro de Londres opera uma única sub-rede /24 para o WiFi de convidados. Durante uma grande conferência, chegam 400 delegados em simultâneo. Em 20 minutos, os convidados reportam que estão ligados mas não conseguem aceder ao portal ou à internet.
A solução imediata consiste em alargar a sub-rede para /22, disponibilizando 1022 endereços utilizáveis, e reduzir o tempo de aluguer DHCP de 24 horas para 8 horas. A solução a longo prazo passa por implementar o Captive Portal gerido na nuvem da Purple, que monitoriza a utilização do pool de DHCP em tempo real e alerta a equipa de rede antes que ocorra a exaustão.
Uma grande cadeia de retalho com 200 lojas utiliza o início de sessão social através da Google e do Facebook no seu portal de convidados. Após a Google atualizar a sua infraestrutura OAuth, os convidados conseguem aceder à página do portal, mas os botões de início de sessão social apresentam ecrãs em branco.
A equipa de TI deve identificar os novos domínios de autenticação utilizados pela Google e adicioná-los ao Walled Garden (lista de controlo de acesso pré-autenticação). Para evitar isto no futuro, devem utilizar entradas de domínio com caracteres universais (ex. *.google.com) em vez de codificar endereços IP específicos, e rever o Walled Garden trimestralmente.
Perguntas de Prática
Q1. O diretor de TI de um estádio relata que, durante o intervalo, milhares de adeptos tentam ligar-se ao WiFi de convidados. O portal carrega para alguns, mas muitos relatam que os seus dispositivos ficam presos em "A obter endereço IP" ou mostram "Ligado, Sem Internet" antes de o portal aparecer. Qual é a falha de arquitetura mais provável?
Dica: Considere o volume de ligações simultâneas em comparação com os recursos disponíveis no segmento de rede.
Ver resposta modelo
A rede está a sofrer de esgotamento do pool de DHCP. O tamanho da sub-rede é provavelmente demasiado pequeno (por exemplo, um /24) para o pico de carga de utilizadores simultâneos, e o tempo de concessão (lease time) do DHCP está provavelmente definido para um valor demasiado elevado. A abordagem recomendada é aumentar o tamanho da sub-rede (por exemplo, para um /22 ou /21) e reduzir o tempo de concessão do DHCP para corresponder ao tempo de permanência esperado (por exemplo, 3 horas para um estádio).
Q2. Um convidado liga-se à sua rede WiFi de retalho. O seu dispositivo mostra um aviso de segurança indicando "A sua ligação não é privada" ao tentar carregar um website popular, e o captive portal nunca aparece. Que mecanismo está a causar este bloqueio?
Dica: Pense em como os browsers modernos gerem redirecionamentos forçados em ligações seguras.
Ver resposta modelo
O HSTS (HTTP Strict Transport Security) está a bloquear o redirecionamento. O convidado tentou navegar para um domínio pré-carregado com HSTS (via HTTPS) e o gateway sem fios tentou intercetar essa ligação segura para redirecionar para o portal. O browser detetou a incompatibilidade de certificado e bloqueou a ligação. O gateway deve ser configurado para intercetar apenas sondagens HTTP não encriptadas.
Q3. Ativou recentemente as opções de início de sessão social do Google e do Microsoft Entra ID no seu captive portal. Os convidados relatam que a página do portal carrega, mas clicar nos botões de início de sessão resulta num timeout. O portal funciona perfeitamente quando testado na rede de funcionários sem restrições do departamento de TI. Que configuração está em falta?
Dica: Considere o estado da rede do dispositivo do convidado antes de a autenticação estar concluída.
Ver resposta modelo
O jardim vedado (walled garden - lista de controlo de acessos pré-autenticação) está incompleto. Os domínios de autenticação OAuth e as CDNs utilizadas pelo Google e pelo Microsoft Entra ID não foram adicionados à whitelist. Como o convidado não está autenticado, o gateway bloqueia o acesso a estes domínios externos, fazendo com que o processo de início de sessão social expire. A equipa de TI deve adicionar entradas wildcard para estes fornecedores de identidade no jardim vedado.
Continue a ler esta série
Resolução de Problemas de Redirecionamento de Captive Portal: Como Resolver Falhas de Ligação de WiFi de Convidados
Quando os convidados se ligam ao seu WiFi mas não conseguem aceder à internet, a causa é quase sempre um captive portal mal configurado - e não uma falha de hardware. Este guia fornece uma referência técnica aprofundada para gestores de TI, arquitetos de rede e CTOs para diagnosticar e resolver toda a cadeia de falhas: desde sondas de conectividade ao nível do SO e conflitos de certificados HSTS até falhas de autorização RADIUS e exaustão de DHCP. Mapeia cada modo de falha para uma correção concreta e mostra como a plataforma de cloud agnóstica de hardware da Purple elimina estes problemas em implementações Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.
As 10 Principais Causas de Timeouts de DHCP em Redes Sem Fios de Alta Densidade
Este guia de referência técnica de autoridade identifica as dez principais causas de timeouts de DHCP em redes sem fios de alta densidade e fornece estratégias de remediação práticas e independentes de fabricante. Concebido para líderes seniores de TI, arquitetos de rede e diretores de operações de espaços públicos, abrange princípios de engenharia aprofundados, fluxos de trabalho de implementação passo a passo e resultados de negócio mensuráveis. Saiba como eliminar estrangulamentos de ligação e otimizar a sua infraestrutura sem fios para fornecer uma conectividade contínua em ambientes empresariais exigentes.
Utilizar a Captura de Pacotes (PCAP) para Diagnosticar o Desempenho Lento do WiFi
Este guia de referência técnica fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços uma metodologia estruturada ao nível dos pacotes para diagnosticar e resolver o desempenho lento do WiFi empresarial utilizando a análise de Captura de Pacotes (PCAP). Ao dissecar tramas 802.11 brutas — incluindo taxas de retransmissão, utilização de tempo de antena e metadados da camada física — as equipas podem isolar estrangulamentos na camada de RF de problemas com fios ou de aplicações com precisão. Aplicável a espaços de alta densidade, incluindo hotéis, cadeias de retalho, estádios e centros de conferências, este guia oferece fluxos de trabalho de diagnóstico práticos, estudos de caso do mundo real e passos de remediação de configuração para recuperar a capacidade da rede e proteger a experiência do utilizador.