Saltar para o conteúdo principal

Resolução de Problemas em WiFi Público: Como Resolver 'Ligado, Sem Internet' e Falhas de Redirecionamento da Página de Splash

Este guia de referência técnica autoritário explica os mecanismos subjacentes de deteção de Captive Portal e detalha os seis principais modos de falha que impedem a ligação ao WiFi de convidados. Fornece aos gestores de TI e arquitetos de rede uma estrutura prática de resolução de problemas para resolver falhas de redirecionamento HTTP, conflitos de DNS e desafios de randomização de MAC.

📖 6 min de leitura📝 1,303 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo a esta apresentação técnica da Purple. Hoje estamos a abordar um dos problemas mais persistentes e mais incompreendidos nas redes sem fios empresariais: o Captive Portal de WiFi de convidados que simplesmente se recusa a carregar. Já passou por isso. Um convidado chega ao seu hotel, à sua loja de retalho, ao seu estádio ou ao seu centro de conferências. Associa-se à rede WiFi. Nada acontece. Sem página de login. Sem internet. Apenas um ícone a rodar e uma sensação crescente de frustração. Para os diretores de operações de espaços e gestores de TI, esse momento não é apenas um pequeno inconveniente. Representa uma falha direta na experiência do seu convidado, um pico de chamadas de suporte na receção e uma oportunidade perdida para recolher os dados primários que justificam o seu investimento em infraestrutura sem fios. Nesta apresentação, vamos analisar os bastidores. Vamos explicar exatamente como funciona a deteção de Captive Portal ao nível do sistema operativo, identificar as seis causas principais responsáveis pela grande maioria das falhas de ligação e fornecer-lhe uma estrutura de resolução de problemas prática e acionável que pode entregar hoje mesmo à sua equipa de TI. Comecemos pelo funcionamento mecânico. A maioria das pessoas pensa num Captive Portal como sendo apenas uma página de login. Trata-se, na verdade, de um mecanismo de interceção de tráfego ao nível da rede, e essa distinção é extremamente importante quando algo corre mal. Eis a sequência. O dispositivo de um convidado associa-se ao seu SSID de convidados e recebe um endereço IP via DHCP. Nesse momento, o sistema operativo não espera que o utilizador abra um navegador. Em segundo plano, um serviço do sistema envia imediatamente um pedido HTTP GET não encriptado para um URL de teste controlado pelo fabricante. Os dispositivos Apple consultam o captive.apple.com. Os dispositivos Android consultam o connectivitycheck.gstatic.com. Os dispositivos Windows consultam o msftconnecttest.com. O Firefox tem o seu próprio teste em detectportal.firefox.com. Se a rede tiver acesso aberto à internet, estes testes devolvem as respostas esperadas e o sistema operativo conclui que está tudo bem. Mas numa rede de convidados, o seu gateway ou controlador sem fios intercetará esse teste HTTP antes que este chegue à internet. Em vez da resposta esperada, o gateway devolve um redirecionamento HTTP 307 que aponta para a sua página inicial do Captive Portal. O sistema operativo deteta o redirecionamento inesperado, percebe que está atrás de um Captive Portal e abre uma janela de navegador isolada - frequentemente chamada Captive Network Assistant - para apresentar a página de login. Esse é o caminho ideal. Agora vamos falar sobre as seis formas como este processo falha. Causa de origem número um: esgotamento do pool DHCP. Este é o assassino silencioso em eventos de alta densidade. Se estiver a organizar uma conferência com dois mil participantes numa sub-rede padrão barra 24, tem 254 endereços IP utilizáveis. Se o tempo de lease do seu DHCP estiver definido para o padrão de 24 horas, esgotará esse pool poucos minutos após a abertura das portas. Todas as tentativas de ligação subsequentes falham antes mesmo de a sequência do Captive Portal começar. A solução é simples: defina os tempos de lease do DHCP de convidados para entre 15 e 30 minutos em ambientes de alta rotatividade e dimensione as suas sub-redes adequadamente para o pico de utilizadores simultâneos, e não apenas para o número total de pessoas. Causa de origem número dois: falha de interceção de DNS. O redirecionamento do Captive Portal depende do gateway que intercepta o teste HTTP. Mas o teste requer primeiro uma consulta de DNS. Se a sua configuração de DNS não permitir que clientes pré-autenticados resolvam nomes de domínio externos, o teste nunca é acionado. Certifique-se de que a política da sua firewall permite explicitamente consultas de DNS de clientes não autenticados e verifique se a sua interceção de DNS está a funcionar executando uma captura de pacotes num dispositivo de teste. Causa de origem número três: walled garden incompleto. O walled garden - também chamado de lista de controlo de acesso de pré-autenticação - define quais os domínios externos que os convidados não autenticados podem aceder. Se a splash page do seu portal carregar recursos de uma CDN que não esteja no walled garden, a página será apresentada como um ecrã em branco. Se oferecer início de sessão social através da Google, Apple ou Facebook, todos os domínios OAuth que esses fornecedores utilizam devem constar da whitelist. E aqui está o ponto crítico: os fornecedores de identidade social atualizam regularmente as suas gamas de IP de CDN e domínios de autenticação. Um walled garden que funcionava perfeitamente há seis meses pode estar silenciosamente avariado hoje. Agende auditorias trimestrais ao walled garden e utilize a deteção de domínios com caracteres wildcard sempre que o seu hardware o suporte. No Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist, isto está disponível nativamente. Causa de origem número quatro: HSTS a bloquear o redirecionamento. O HTTP Strict Transport Security, ou HSTS, é uma política de segurança do browser que força as ligações a domínios específicos apenas através de HTTPS. Se o dispositivo de um convidado tentar contactar um domínio pré-carregado com HSTS - o que inclui praticamente todos os principais sites - e o seu gateway tentar interceptar esse pedido HTTPS para redirecionar para o portal, o browser deteta uma incompatibilidade de certificado. Apresenta um aviso de segurança que não pode ser contornado e bloqueia totalmente o redirecionamento. A solução correta é nunca tentar a interceção de HTTPS. O seu gateway deve apenas redirecionar os testes canário de HTTP não encriptados. A solução a longo prazo baseada em normas é a RFC 8910, que define a Opção DHCP 114. Esta opção permite que o seu servidor DHCP anuncie diretamente o URL do Captive Portal ao dispositivo cliente, eliminando totalmente a necessidade de redirecionamento HTTP. O iOS 14 e o Android 11 e superior suportam isto nativamente. Causa raiz número cinco: VPN ativa no dispositivo do visitante. Uma VPN encripta todo o tráfego do dispositivo e encaminha-o através de um túnel externo antes de este chegar ao seu gateway. O seu gateway nunca vê a sonda HTTP. A sequência de deteção do Captive Portal nunca é acionada. O visitante não vê nenhuma página de login nem internet. A solução para o visitante é simples: desativar a VPN, ligar-se ao portal e, em seguida, reativar a VPN. Para o seu pessoal de atendimento ao público, esta deve ser a primeira pergunta a fazer quando um visitante reportar um problema de ligação. Causa raiz número seis: a randomização do endereço MAC quebra a persistência da sessão. Os dispositivos modernos iOS e Android utilizam endereços MAC randomizados por predefinição como funcionalidade de privacidade. Cada vez que um dispositivo se liga a uma rede, pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é monitorizado pelo endereço MAC, um visitante que se tenha autenticado há uma hora pode deparar-se novamente com a página de login após o MAC do seu dispositivo rodar. A solução do lado do visitante é desativar o Endereço Privado para o seu SSID específico nas definições de rede. A solução do lado do operador é implementar a autenticação baseada em perfis - como o OpenRoaming através de Passpoint e 802.1X - que autentica na Camada 2 utilizando credenciais em vez de endereços MAC, tornando a randomização irrelevante. Agora falemos de implementação. Como é que uma implementação de Captive Portal bem configurada se parece realmente na prática? Comece pela sua arquitetura DHCP. Para qualquer local que preveja mais de 200 dispositivos simultâneos, afaste-se de uma sub-rede única slash-24. Utilize slash-22 ou superior, e defina os tempos de concessão (lease times) para corresponder ao perfil de permanência do seu local. Um hotel define as concessões para 8 horas. Um estádio define as concessões para 3 horas. Um centro comercial define as concessões para 90 minutos. Um centro de conferências define as concessões para 30 minutos. Em seguida, valide o seu jardim murado (walled garden) antes de cada grande evento. As entradas mínimas exigidas são: o nome de domínio totalmente qualificado do seu portal e todos os domínios CDN associados, os URLs de deteção de Captive Portal para Apple, Google, Windows e Firefox, e os domínios OAuth para cada fornecedor de login social que suporte. Na plataforma da Purple, mantemos e atualizamos estas entradas de jardim murado automaticamente como parte do nosso serviço gerido na nuvem, o que remove a carga de manutenção manual da sua equipa. Para o certificado do seu portal, utilize um certificado TLS publicamente confiável de uma autoridade de certificação reconhecida. Os certificados autoassinados irão acionar avisos do navegador em todos os dispositivos. Renove os certificados antes do vencimento - um certificado expirado é uma das causas mais comuns de falhas repentinas do portal em todo o local. Uma armadilha que apanha muitas equipas de TI: testar o portal a partir de um dispositivo que se autenticou anteriormente. A sessão do seu dispositivo ainda está ativa, pelo que ignora completamente o portal e conclui que tudo está a funcionar. Teste sempre a partir de um dispositivo num estado limpo e não autenticado - ou um dispositivo novo, ou um no qual tenha esquecido a rede e limpado o perfil de WiFi. Vou dar-lhe dois cenários do mundo real que ilustram estes princípios. Cenário um: um hotel de 350 quartos no centro de Londres. A propriedade utilizava uma única sub-rede slash-24 para o WiFi de convidados. Durante uma grande conferência, chegaram 400 delegados em simultâneo. Em 20 minutos, o pool de DHCP esgotou-se. Os convidados relataram que estavam ligados, mas não conseguiam aceder ao Captive Portal ou à internet. A correção imediata foi expandir a sub-rede para slash-22, disponibilizando 1022 endereços úteis, e reduzir o tempo de atribuição (lease time) de 24 horas para 8 horas. A solução a longo prazo foi implementar o Captive Portal gerido na nuvem da Purple, que monitoriza a utilização do pool de DHCP em tempo real e alerta a equipa de rede antes que ocorra o esgotamento. A taxa de falha do portal caiu para quase zero em 48 horas após a alteração. Cenário dois: uma grande cadeia de retalho com 200 lojas. A cadeia utilizava o login social via Google e Facebook no seu portal de convidados. Após a Google atualizar a sua infraestrutura de OAuth, os novos domínios de autenticação não constavam do walled garden. Os convidados conseguiam aceder à página do portal, mas os botões de login social apresentavam ecrãs em branco. A equipa de TI da cadeia passou dois dias a diagnosticar o problema antes de identificar a falha no walled garden. A correção demorou 10 minutos após ser identificada. A lição: nunca codifique de forma rígida endereços IP no seu walled garden para fornecedores de OAuth baseados na nuvem. Utilize entradas de domínio com caracteres universais (wildcards) e reveja-as trimestralmente. Agora, algumas perguntas rápidas que ouvimos regularmente das equipas de TI dos espaços. Porque é que o portal funciona em iPhones mas não em dispositivos Android? O Android utiliza connectivitycheck.gstatic.com como o seu URL de teste. Se esse domínio estiver bloqueado pela sua firewall ou não estiver no seu walled garden, os dispositivos Android nunca acionam o portal. Adicione-o explicitamente. Um convidado diz que o portal carregou, mas não consegue aceder à internet após iniciar sessão. Isto é quase sempre uma falha de autorização RADIUS. Verifique se o seu servidor RADIUS está acessível a partir do controlador sem fios, confirme se o segredo partilhado coincide em ambos os lados e reveja os registos RADIUS em busca de mensagens de Access-Reject. Como lidamos com convidados que continuam a ser desligados após alguns minutos? Verifique a sua configuração de limite de tempo de inatividade (idle timeout). Muitos controladores definem por predefinição um limite de inatividade de 5 minutos, o que é demasiado agressivo para dispositivos móveis que entram em modo de suspensão entre interações. Defina o limite de tempo de inatividade para pelo menos 30 minutos em ambientes de hotelaria e retalho. Para resumir os pontos principais da sessão de hoje. As falhas do Captive Portal de WiFi de convidados dividem-se em seis categorias: esgotamento do pool de DHCP, falha de interceção de DNS, walled garden incompleto, bloqueio de redirecionamento HSTS, VPN ativa no dispositivo do cliente e aleatorização de endereços MAC. Cada uma tem uma correção específica e testável. Para a sua equipa de TI, as ações imediatas são: auditar os tempos de atribuição de DHCP e o dimensionamento da sub-rede, validar o seu walled garden face aos domínios de OAuth atuais dos seus fornecedores de login social e testar o seu portal a partir de um dispositivo novo não autenticado após cada alteração de configuração. Para o seu roteiro a longo prazo, avalie o OpenRoaming como o sucessor da reautenticação via Captive Portal para visitantes frequentes. A tecnologia é madura, os padrões estão estabelecidos sob o IEEE 802.1X e WPA3-Enterprise, e a Purple disponibiliza-a sem custos de software adicionais sob o plano Connect. A Purple opera em 80 000 locais e processou 440 milhões de inícios de sessão só em 2024. Já vimos todos os modos de falha descritos nesta sessão - e criámos as ferramentas para os evitar. Se deseja explorar como o overlay de nuvem da Purple se integra com a sua infraestrutura existente Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, visite purple.ai ou fale com o seu gestor de conta. Muito obrigado pela sua atenção.

Resumo Executivo

header_image.png

Um convidado liga-se ao seu WiFi, mas a página de início de sessão não carrega. Vê um aviso de "Ligado, Sem Internet" e desiste. Para Diretores de Operações de Espaços e Gestores de TI, esta falha representa uma degradação direta da experiência do convidado, um aumento nos pedidos de suporte e uma oportunidade perdida de recolher dados primários, o que justifica o investimento na infraestrutura sem fios.

Este guia explica exatamente como funciona a deteção de Captive Portal ao nível do sistema operativo e identifica as seis causas principais responsáveis pela maioria das falhas de ligação. Fornece uma estrutura de resolução de problemas prática e neutra em termos de fornecedor para resolver a exaustão de DHCP, falhas de interceção de DNS, walled gardens incompletos, redirecionamentos HSTS bloqueados, conflitos de VPN ativos e problemas de aleatorização de endereços MAC.

Análise Técnica Detalhada: Como Funciona Realmente a Deteção de Captive Portal

Para resolver problemas num captive portal, deve primeiro compreender o que um captive portal realmente faz ao nível da rede. Não se trata apenas de uma página de início de sessão; é um mecanismo de interceção de tráfego ao nível da rede.

Quando um dispositivo convidado se junta a um SSID de convidado, recebe um endereço IP via DHCP. O sistema operativo não espera que o utilizador abra um navegador. Em vez disso, um serviço de sistema em segundo plano envia imediatamente um pedido HTTP GET não encriptado para um URL de teste controlado pelo fabricante. Os dispositivos Apple consultam captive.apple.com. Os dispositivos Android consultam connectivitycheck.gstatic.com. Os dispositivos Windows consultam msftconnecttest.com. O Firefox consulta detectportal.firefox.com.

Se a rede tiver acesso aberto à internet, estes testes devolvem a resposta HTTP 200 OK esperada e o sistema operativo decide que a ligação está ativa. No entanto, numa rede de convidados, o gateway ou controlador sem fios intercepta este teste HTTP antes que ele possa chegar à internet. Em vez da resposta esperada, o gateway devolve um HTTP 307 Temporary Redirect a apontar para a splash page do captive portal. O sistema operativo deteta este redirecionamento inesperado, compreende que está atrás de um captive portal e abre uma janela de navegador isolada (Captive Network Assistant) para exibir a página de início de sessão.

portal_architecture_diagram.png

Resolução de Problemas e Mitigação de Riscos: As 6 Causas Principais de Falha

Quando um captive portal não carrega, o problema é quase sempre causado por um de seis modos de falha específicos.

root_causes_infographic.png

1. Esgotamento do Pool DHCP

Este é um obstáculo silencioso em eventos de alta densidade. Se estiver a organizar uma conferência com 2000 participantes e a utilizar uma sub-rede /24 padrão, terá apenas 254 endereços IP utilizáveis. Se o tempo de concessão (lease time) do seu DHCP estiver configurado para o padrão de 24 horas, o seu pool ficará esgotado minutos após a abertura das portas. Todas as tentativas de ligação subsequentes falharão antes mesmo de a sequência do Captive Portal começar.

Solução: Defina os tempos de concessão do DHCP para convidados entre 15 e 30 minutos em ambientes de elevada rotação. Dimensione as suas sub-redes com base no pico de utilizadores simultâneos, e não apenas na média de presenças. Uma sub-rede /22 fornece 1022 endereços utilizáveis, o que é o tamanho mínimo recomendado para recintos empresariais.

2. Falha de Interceção de DNS

A redireção do Captive Portal baseia-se na interceção de um teste HTTP por parte do gateway. No entanto, esse teste requer primeiro uma consulta DNS. Se a sua configuração de DNS não permitir que os clientes pré-autenticados resolvam nomes de domínio externos, o teste nunca será acionado.

Solução: Certifique-se de que as políticas da sua firewall permitem explicitamente consultas DNS (porta 53) de clientes não autenticados. Execute uma captura de pacotes num dispositivo de teste para verificar se a sua interceção de DNS está a funcionar corretamente.

3. Walled Garden Incompleto

O walled garden (lista de controlo de acessos de pré-autenticação) define quais os domínios externos a que os convidados não autenticados podem aceder. Se a splash page do seu portal carregar recursos de uma CDN que não esteja incluída no walled garden, a página será apresentada em branco. Se disponibilizar inícios de sessão sociais através do Google, Apple ou Microsoft Entra ID, todos os domínios OAuth utilizados por esses fornecedores têm de constar na lista de permissões. Os fornecedores de identidade social atualizam regularmente os seus intervalos de IP de CDN e domínios de autenticação; um walled garden que funcionava perfeitamente há seis meses pode deixar de funcionar de um dia para o outro.

Solução: Agende auditorias trimestrais ao seu walled garden. Sempre que o seu hardware o suporte, utilize a deteção de domínios com caracteres universais (wildcards), que está disponível nativamente em equipamentos Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. A Purple mantém e atualiza automaticamente estas entradas do walled garden como parte do nosso serviço gerido na cloud.

4. Bloqueio de Redireção HSTS

O HTTP Strict Transport Security (HSTS) é uma política de segurança dos navegadores que força as ligações a domínios específicos exclusivamente através de HTTPS. Se um dispositivo convidado tentar comunicar com um domínio pré-carregado com HSTS, e o seu gateway tentar intercetar esse pedido HTTPS para redirecionar para o portal, o navegador deteta uma incompatibilidade de certificado. Isto exibe um aviso de segurança incontornável e bloqueia totalmente a redireção.

Solução: Nunca tente efetuar a interceção de HTTPS para o redirecionamento inicial. Garanta que o seu gateway apenas redireciona sondas HTTP não encriptadas. A solução a longo prazo baseada em normas é o RFC 8910, que define a Opção DHCP 114. Esta opção permite que o seu servidor DHCP anuncie o URL do Captive Portal diretamente ao dispositivo cliente, ignorando completamente a necessidade de redirecionamento HTTP. O iOS 14 e o Android 11 e superiores suportam esta funcionalidade nativamente.

5. VPN Ativa no Dispositivo Cliente

Uma VPN encripta todo o tráfego do dispositivo e encaminha-o através de um túnel externo antes de este chegar ao seu gateway. O seu gateway nunca vê a sonda HTTP, pelo que a sequência de deteção do Captive Portal nunca é acionada. Os convidados não veem a página de início de sessão nem a internet.

Solução: O convidado deve desativar a VPN, ligar-se ao portal e, em seguida, voltar a ativar a VPN. Para a equipa de atendimento ao público, perguntar se o convidado está a utilizar uma VPN deve ser o primeiro passo na resolução de problemas.

6. Persistência de Sessão Interrompida pela Randomização de Endereços MAC

Os dispositivos modernos iOS e Android utilizam endereços MAC randomizados por predefinição como uma funcionalidade de privacidade. Sempre que um dispositivo se liga a uma rede, pode apresentar um endereço MAC diferente. Como o estado da sessão do Captive Portal é monitorizado pelo endereço MAC, um convidado autenticado há uma hora pode deparar-se novamente com a página de início de sessão após a alteração do MAC do seu dispositivo.

Solução: A solução para os convidados é desativar o Endereço Privado para o seu SSID específico nas definições de rede. A solução do lado do operador consiste em implementar a autenticação baseada em perfis, como o Passpoint e o OpenRoaming através de 802.1X, que autentica na Camada 2 utilizando credenciais em vez de endereços MAC, tornando a randomização irrelevante.

Guia de Implementação: Construir uma Arquitetura Resiliente

A implementação de um Captive Portal bem configurado requer decisões arquiteturais ativas.

  1. Verifique o seu walled garden antes de cada evento importante. As entradas mínimas necessárias são: o FQDN do seu portal e todos os domínios CDN associados, os URL de deteção de Captive Portal da Apple, Google, Windows e Firefox, e os domínios OAuth para cada fornecedor de início de sessão social que suporte.
  2. Utilize um certificado TLS publicamente fidedigno. Os certificados autoassinados acionarão avisos do browser em todos os dispositivos. Renove os certificados antes que expirem; um certificado expirado é uma das causas mais comuns de falhas repentinas do portal em todo o espaço.
  3. Teste a partir de um estado novo e não autenticado. Testar o portal a partir de um dispositivo previamente autenticado contornará o portal por completo porque a sessão ainda está ativa. Teste sempre a partir de um novo dispositivo ou de um dispositivo onde tenha esquecido a rede e eliminado o perfil de WiFi.
  4. Ajuste os tempos limite de inatividade (idle timeouts). Muitos controladores predefinem um tempo limite de inatividade de 5 minutos, o que é altamente agressivo para dispositivos móveis que entram em modo de suspensão entre interações. Defina o tempo limite de inatividade para pelo menos 30 minutos em ambientes de hotelaria e retalho.

ROI e Impacto Empresarial

Os Captive Portals são uma tecnologia madura, mas apresentam algumas complexidades inerentes. O objetivo estratégico é avançar para uma autenticação fluida e segura.

O OpenRoaming, baseado em Passpoint e 802.1X, ajuda os visitantes frequentes a ligarem-se automática e seguramente sem verem qualquer página de login. Sob o nosso plano Connect, a Purple atua como um fornecedor de identidade gratuito para o OpenRoaming. Locais como o Premier Inn e o Manchester Airports Group já o utilizam para eliminar o incómodo da reautenticação para visitantes repetidos, mantendo a total conformidade com o GDPR e a recolha de dados primários. Ao reduzir as falhas de ligação, pode aumentar diretamente o volume de dados primários recolhidos, impulsionando a fidelização dos clientes e o envolvimento personalizado.

Podcast de Apresentação Técnica

Oiça uma análise detalhada destes passos de resolução de problemas pelo nosso Senior Solutions Architect na nossa apresentação técnica de 10 minutos.

}```_

Definições Principais

Captive Portal

Um mecanismo de interceção de tráfego ao nível da rede que restringe o acesso à internet até que o utilizador realize uma ação obrigatória, como aceitar os termos ou introduzir credenciais numa página de Splash.

O método principal para locais empresariais protegerem o acesso de convidados e recolherem dados primários.

Walled Garden

Uma lista de controlo de acesso pré-autenticação que define quais os endereços IP externos ou domínios que um dispositivo de convidado não autenticado tem permissão para aceder.

Crucial para permitir o acesso a recursos do portal, CDNs e fornecedores de identidade OAuth antes de o utilizador estar totalmente autenticado.

Captive Network Assistant (CNA)

Uma janela de navegador em sandbox e com funcionalidade limitada, aberta automaticamente pelo sistema operativo quando este deteta um redirecionamento de Captive Portal.

Esta é a interface onde o convidado realmente vê e interage com a sua página de início de sessão.

HSTS (HTTP Strict Transport Security)

Um mecanismo de política de segurança web que ajuda a proteger os sites contra ataques de man-in-the-middle, forçando os navegadores a interagir com os mesmos apenas através de ligações HTTPS seguras.

O HSTS impede que os gateways utilizem a interceção HTTPS para redirecionar utilizadores para um Captive Portal, causando falhas de ligação se configurado incorretamente.

Exaustão do Pool de DHCP

Um estado em que um servidor DHCP atribuiu todos os endereços IP disponíveis na sua sub-rede configurada, impedindo que novos dispositivos se associem à rede.

Uma causa comum de erros 'Ligado, Sem Internet' em ambientes de alta densidade como estádios ou conferências.

Randomização de Endereço MAC

Uma funcionalidade de privacidade nos sistemas operativos móveis modernos que gera um endereço MAC aleatório para cada rede WiFi, impedindo a monitorização em diferentes localizações.

Esta funcionalidade quebra a persistência de sessão nos Captive Portals, forçando os convidados a autenticarem-se novamente se o seu endereço MAC for alterado.

OpenRoaming

Uma federação de redes WiFi que permite aos utilizadores ligarem-se automática e seguramente a redes aderentes sem introduzir credenciais ou interagir com um captive portal.

O sucessor estratégico dos portais de captive portal para visitantes recorrentes, suportado pela Purple como um fornecedor de identidade gratuito.

RFC 8910 (DHCP Option 114)

Um padrão que permite a um servidor DHCP fornecer diretamente o URL do captive portal ao dispositivo cliente durante a atribuição do endereço IP.

Isto evita totalmente a necessidade de redirecionamento HTTP, resolvendo problemas causados pelo HSTS e melhorando a velocidade de deteção do portal.

Exemplos Práticos

Um hotel de 350 quartos no centro de Londres opera uma única sub-rede /24 para o WiFi de convidados. Durante uma grande conferência, chegam 400 delegados em simultâneo. Em 20 minutos, os convidados reportam que estão ligados mas não conseguem aceder ao portal ou à internet.

A solução imediata consiste em alargar a sub-rede para /22, disponibilizando 1022 endereços utilizáveis, e reduzir o tempo de aluguer DHCP de 24 horas para 8 horas. A solução a longo prazo passa por implementar o Captive Portal gerido na nuvem da Purple, que monitoriza a utilização do pool de DHCP em tempo real e alerta a equipa de rede antes que ocorra a exaustão.

Comentário do Examinador: Este cenário demonstra a clássica exaustão do pool de DHCP. Uma sub-rede /24 apenas fornece 254 endereços IP utilizáveis. Ao aumentar o tamanho da sub-rede e reduzir o tempo de aluguer, a rede consegue acomodar a elevada rotação de dispositivos típica num ambiente de conferência.

Uma grande cadeia de retalho com 200 lojas utiliza o início de sessão social através da Google e do Facebook no seu portal de convidados. Após a Google atualizar a sua infraestrutura OAuth, os convidados conseguem aceder à página do portal, mas os botões de início de sessão social apresentam ecrãs em branco.

A equipa de TI deve identificar os novos domínios de autenticação utilizados pela Google e adicioná-los ao Walled Garden (lista de controlo de acesso pré-autenticação). Para evitar isto no futuro, devem utilizar entradas de domínio com caracteres universais (ex. *.google.com) em vez de codificar endereços IP específicos, e rever o Walled Garden trimestralmente.

Comentário do Examinador: Isto realça a fragilidade dos Walled Gardens estáticos quando se depende de fornecedores de OAuth de terceiros. Os fornecedores de identidade baseados na nuvem alteram frequentemente os seus intervalos de IP e domínios de CDN. O rastreio por caracteres universais, suportado nativamente por hardware empresarial como Cisco Meraki e HPE Aruba, é a abordagem arquitetónica correta.

Perguntas de Prática

Q1. O diretor de TI de um estádio relata que, durante o intervalo, milhares de adeptos tentam ligar-se ao WiFi de convidados. O portal carrega para alguns, mas muitos relatam que os seus dispositivos ficam presos em "A obter endereço IP" ou mostram "Ligado, Sem Internet" antes de o portal aparecer. Qual é a falha de arquitetura mais provável?

Dica: Considere o volume de ligações simultâneas em comparação com os recursos disponíveis no segmento de rede.

Ver resposta modelo

A rede está a sofrer de esgotamento do pool de DHCP. O tamanho da sub-rede é provavelmente demasiado pequeno (por exemplo, um /24) para o pico de carga de utilizadores simultâneos, e o tempo de concessão (lease time) do DHCP está provavelmente definido para um valor demasiado elevado. A abordagem recomendada é aumentar o tamanho da sub-rede (por exemplo, para um /22 ou /21) e reduzir o tempo de concessão do DHCP para corresponder ao tempo de permanência esperado (por exemplo, 3 horas para um estádio).

Q2. Um convidado liga-se à sua rede WiFi de retalho. O seu dispositivo mostra um aviso de segurança indicando "A sua ligação não é privada" ao tentar carregar um website popular, e o captive portal nunca aparece. Que mecanismo está a causar este bloqueio?

Dica: Pense em como os browsers modernos gerem redirecionamentos forçados em ligações seguras.

Ver resposta modelo

O HSTS (HTTP Strict Transport Security) está a bloquear o redirecionamento. O convidado tentou navegar para um domínio pré-carregado com HSTS (via HTTPS) e o gateway sem fios tentou intercetar essa ligação segura para redirecionar para o portal. O browser detetou a incompatibilidade de certificado e bloqueou a ligação. O gateway deve ser configurado para intercetar apenas sondagens HTTP não encriptadas.

Q3. Ativou recentemente as opções de início de sessão social do Google e do Microsoft Entra ID no seu captive portal. Os convidados relatam que a página do portal carrega, mas clicar nos botões de início de sessão resulta num timeout. O portal funciona perfeitamente quando testado na rede de funcionários sem restrições do departamento de TI. Que configuração está em falta?

Dica: Considere o estado da rede do dispositivo do convidado antes de a autenticação estar concluída.

Ver resposta modelo

O jardim vedado (walled garden - lista de controlo de acessos pré-autenticação) está incompleto. Os domínios de autenticação OAuth e as CDNs utilizadas pelo Google e pelo Microsoft Entra ID não foram adicionados à whitelist. Como o convidado não está autenticado, o gateway bloqueia o acesso a estes domínios externos, fazendo com que o processo de início de sessão social expire. A equipa de TI deve adicionar entradas wildcard para estes fornecedores de identidade no jardim vedado.

Continue a ler esta série

Resolução de Problemas de Redirecionamento de Captive Portal: Como Resolver Falhas de Ligação de WiFi de Convidados

Quando os convidados se ligam ao seu WiFi mas não conseguem aceder à internet, a causa é quase sempre um captive portal mal configurado - e não uma falha de hardware. Este guia fornece uma referência técnica aprofundada para gestores de TI, arquitetos de rede e CTOs para diagnosticar e resolver toda a cadeia de falhas: desde sondas de conectividade ao nível do SO e conflitos de certificados HSTS até falhas de autorização RADIUS e exaustão de DHCP. Mapeia cada modo de falha para uma correção concreta e mostra como a plataforma de cloud agnóstica de hardware da Purple elimina estes problemas em implementações Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Ler o guia →

As 10 Principais Causas de Timeouts de DHCP em Redes Sem Fios de Alta Densidade

Este guia de referência técnica de autoridade identifica as dez principais causas de timeouts de DHCP em redes sem fios de alta densidade e fornece estratégias de remediação práticas e independentes de fabricante. Concebido para líderes seniores de TI, arquitetos de rede e diretores de operações de espaços públicos, abrange princípios de engenharia aprofundados, fluxos de trabalho de implementação passo a passo e resultados de negócio mensuráveis. Saiba como eliminar estrangulamentos de ligação e otimizar a sua infraestrutura sem fios para fornecer uma conectividade contínua em ambientes empresariais exigentes.

Ler o guia →

Utilizar a Captura de Pacotes (PCAP) para Diagnosticar o Desempenho Lento do WiFi

Este guia de referência técnica fornece aos gestores de TI, arquitetos de rede e diretores de operações de espaços uma metodologia estruturada ao nível dos pacotes para diagnosticar e resolver o desempenho lento do WiFi empresarial utilizando a análise de Captura de Pacotes (PCAP). Ao dissecar tramas 802.11 brutas — incluindo taxas de retransmissão, utilização de tempo de antena e metadados da camada física — as equipas podem isolar estrangulamentos na camada de RF de problemas com fios ou de aplicações com precisão. Aplicável a espaços de alta densidade, incluindo hotéis, cadeias de retalho, estádios e centros de conferências, este guia oferece fluxos de trabalho de diagnóstico práticos, estudos de caso do mundo real e passos de remediação de configuração para recuperar a capacidade da rede e proteger a experiência do utilizador.

Ler o guia →