Kennen Sie das Gefühl? Sie haben in Ihr UniFi-Netzwerk investiert, alles eingerichtet, und nun soll das Captive Portal für Ihr Gast-WLAN den entscheidenden Mehrwert bieten – sei es für Ihre Kunden, Besucher oder Mitarbeiter. Doch anstatt der erwarteten Anmeldeseite sehen Ihre Gäste nur eine Fehlermeldung, eine leere Seite oder können schlichtweg nicht auf das Internet zugreifen. Frustration macht sich breit, und die Zeit drängt. Sie sind nicht allein! Ein nicht funktionierendes UniFi Captive Portal ist ein häufiges, aber meist lösbares Problem. In diesem umfassenden Troubleshooting-Guide nehmen wir Sie Schritt für Schritt an die Hand, um die Ursache zu finden und Ihr Gast-WLAN wieder zum Laufen zu bringen.
Das UniFi-Ökosystem ist bekannt für seine Leistungsfähigkeit und Skalierbarkeit, aber gerade das Captive Portal, das die Kommunikation zwischen Client, Access Point, Controller und manchmal externen Diensten erfordert, birgt einige potenzielle Stolperfallen. Oft sind es kleine Konfigurationsfehler, die große Wirkung zeigen. Doch keine Sorge, mit der richtigen Herangehensweise finden Sie die Lösung.
Grundlagen verstehen: Wie ein UniFi Captive Portal funktioniert
Bevor wir uns in die Fehlersuche stürzen, ist es hilfreich, die Funktionsweise eines Captive Portals zu verstehen. Wenn ein Client sich mit Ihrem Gast-WLAN verbindet, passiert im Idealfall Folgendes:
- Der Client erhält eine IP-Adresse per DHCP im Gast-Netzwerk.
- Er versucht, eine Webseite aufzurufen (z.B. google.com).
- Der UniFi Access Point (AP) erkennt, dass der Client noch nicht autorisiert ist.
- Der AP leitet den gesamten HTTP/HTTPS-Verkehr des Clients auf die IP-Adresse des UniFi Controllers um, wo das Captive Portal gehostet wird.
- Der Client erhält die Portal-Seite angezeigt.
- Nach erfolgreicher Authentifizierung (z.B. Eingabe eines Passworts, Akzeptieren der Nutzungsbedingungen) autorisiert der Controller den Client.
- Der AP erlaubt dem Client den uneingeschränkten Internetzugang.
Diese Kette kann an vielen Stellen unterbrochen werden. Die Hauptakteure sind dabei Ihr UniFi Controller (Cloud Key, UDM, Software-Controller), die UniFi Access Points, Ihr Gateway/Router (der DHCP und DNS bereitstellt) und Ihre Firewall.
Erste Schritte der Fehlerbehebung: Die Basics prüfen
Manchmal sind es die einfachsten Dinge. Bevor Sie tiefer graben, überprüfen Sie diese Grundlagen:
1. Ist der UniFi Controller erreichbar und aktiv?
- Überprüfen Sie den Status Ihres Controllers (Cloud Key, UDM, Software-Controller auf einem Server). Läuft er? Ist er per Netzwerk erreichbar?
- Sind alle UniFi Access Points „Connected” und nicht „Disconnected” oder „Adoption Failed”? Der Controller muss online sein und die APs müssen mit ihm kommunizieren können.
- Versuchen Sie, das Controller-Interface von einem Gerät im Management-Netzwerk zu erreichen.
2. Netzwerkgrundlagen des Gast-WLANs checken
- DHCP-Funktionalität: Erhält ein Gerät, das sich mit dem Gast-WLAN verbindet, überhaupt eine IP-Adresse? Prüfen Sie dies direkt auf dem Client (z.B. in den Netzwerkeinstellungen des Smartphones/Laptops). Wenn keine IP vergeben wird, liegt das Problem wahrscheinlich am DHCP-Server oder der VLAN-Konfiguration.
- DNS-Auflösung: Kann der Client grundlegende Domain-Namen auflösen? Versuchen Sie, die IP-Adresse eines öffentlichen DNS-Servers (z.B. 8.8.8.8 von Google) anzupingen. Wenn das funktioniert, aber die Auflösung von Domain-Namen fehlschlägt, ist Ihr DNS-Server für das Gast-Netzwerk nicht korrekt konfiguriert oder erreichbar.
- Internetverbindung generell: Funktioniert das Internet *ohne* Captive Portal (z.B. über ein anderes, nicht-Captive-Portal-WLAN oder direkt am Router)? Schließen Sie grundlegende Internetprobleme aus.
- IP-Adresse des Controllers: Merken Sie sich die IP-Adresse des UniFi Controllers. Sie ist für die Pre-Authorization-Regeln entscheidend.
Typische Fehlerquellen und detaillierte Lösungsansätze
Nach den Basics geht es an die spezifischen Punkte. Hier sind die häufigsten Problembereiche und wie Sie diese beheben können:
1. Falsche Netzwerkkonfiguration im UniFi Controller
Gehen Sie im UniFi Controller zu „Settings” > „Networks” und überprüfen Sie die Einstellungen Ihres Gast-Netzwerks:
- Gast-Netzwerk VLAN-Tagging: Wenn Sie VLANs verwenden, muss das für das Gast-WLAN konfigurierte VLAN-Tag (z.B. VLAN 20) sowohl im UniFi Controller als auch auf den Switch-Ports, an denen Ihre UniFi APs angeschlossen sind, sowie auf Ihrem Router/Firewall korrekt konfiguriert sein. Ein häufiger Fehler ist, dass der Switch-Port zwar das VLAN erlaubt, aber nicht als „Tagging” eingestellt ist oder der Router die Routen für dieses VLAN nicht kennt.
- Subnetz für Gast-WLAN: Stellen Sie sicher, dass das Subnetz des Gast-WLANs (z.B. 192.168.20.0/24) einzigartig ist und sich nicht mit anderen Netzwerken in Ihrem Setup überschneidet.
- DHCP-Server für das Gast-Netzwerk: Überprüfen Sie, ob ein DHCP-Server für Ihr Gast-Netzwerk konfiguriert ist und IP-Adressen vergibt.
- Wenn Ihr UniFi Gateway (UDM, USG, UXG) der DHCP-Server ist: Überprüfen Sie in den Netzwerkeinstellungen des Gast-Netzwerks, ob „DHCP Server” aktiviert ist und der IP-Bereich korrekt ist.
- Wenn ein externer DHCP-Server verwendet wird: Stellen Sie sicher, dass der Gateway des Gast-Netzwerks als DHCP-Relay konfiguriert ist, um Anfragen an den externen Server weiterzuleiten, oder dass der externe DHCP-Server direkt im Gast-VLAN erreichbar ist.
2. Firewall-Regeln blockieren den Zugriff auf das Portal
Dies ist eine der häufigsten Ursachen für ein nicht funktionierendes Captive Portal. Wenn Ihre Gäste die Portal-Seite nicht sehen, kann der Client den Controller oft nicht erreichen. Dies liegt fast immer an restriktiven Firewall-Regeln.
Navigieren Sie im UniFi Controller zu „Settings” > „Guest Policies” (oder „Profiles” > „Guest Hotspot” in älteren Versionen) und dann zu „Guest Control” oder direkt zu „Firewall & Security” wenn Sie ein UniFi Gateway haben.
- Pre-Authorization Access (Vorautorisierung): Dies ist der entscheidende Punkt. Bevor ein Gast autorisiert ist, muss er die Captive-Portal-Seite vom Controller laden können. Das bedeutet, dass die IP-Adresse des UniFi Controllers (und bei Bedarf auch die des Hotspot-Gateways, wenn es sich um einen externen Dienst handelt) sowie die IP-Adressen Ihrer DNS-Server in der Liste der vorautorisierten Subnetze oder IPs aufgeführt sein MÜSSEN. Ohne diese Erlaubnis kann der Client die Portal-Seite nicht aufrufen.
- Beispiel für Pre-Authorization IPs:
- IP-Adresse Ihres UniFi Controllers (z.B. 192.168.1.5)
- IP-Adressen der DNS-Server, die das Gast-Netzwerk verwendet (z.B. 8.8.8.8, 8.8.4.4, oder die IP Ihres internen DNS-Servers, falls dieser verwendet wird)
- Wenn Sie ein externes Portal verwenden: Die IP-Adresse(n) des externen Portal-Servers.
- UniFi OS Firewalls (UDM/UXG): Wenn Sie ein UniFi Gateway verwenden, sind die grundlegenden Firewall-Regeln für Gast-Isolation und Portal-Umleitung oft voreingestellt. Überprüfen Sie dennoch, ob Sie keine benutzerdefinierten Regeln erstellt haben, die den Datenverkehr zum Controller blockieren. Die Standardregel „Guest IN” sollte den Zugriff auf den Controller (Ports 8880, 8843 für HTTP/S-Redirection und 8443 für Controller UI) erlauben.
- Externe Firewalls/Router: Wenn Sie eine externe Firewall (z.B. pfSense, OPNsense, FortiGate) verwenden, müssen Sie sicherstellen, dass die Firewall den Datenverkehr vom Gast-VLAN zu den benötigten UniFi Controller-Ports (typischerweise 80, 443 für Web-Traffic; 8880, 8843 für UniFi Redirection-Ports; 8443 für Controller-UI) sowie zu den DNS-Servern erlaubt.
- Port-Weiterleitungen: Stellen Sie sicher, dass keine ungewollten Port-Weiterleitungen auf Ihrem Router oder Ihrer Firewall konfiguriert sind, die den HTTP/HTTPS-Verkehr des Gast-Netzwerks umleiten, bevor der UniFi AP dies tun kann.
3. Probleme mit dem UniFi Controller selbst
Der Controller ist das Herzstück Ihres Captive Portals. Probleme hier wirken sich direkt aus.
- Controller Version: Haben Sie kürzlich ein Update durchgeführt? Manchmal enthalten neue Versionen Bugs. Prüfen Sie die UniFi Community-Foren auf bekannte Probleme mit Ihrer Version. Ein Downgrade oder Update kann manchmal helfen.
- Gast-Portal-Einstellungen:
- Ist das Portal unter „Settings” > „Guest Policies” > „Guest Hotspot” > „Enable Guest Portal” überhaupt aktiviert?
- Ist die korrekte Authentifizierungsmethode ausgewählt (z.B. Hotspot, Simple Password, External Portal Server)?
- Überprüfen Sie, ob unter „Advanced” > „Redirect using Hostname” die IP-Adresse des Controllers oder der korrekte Hostname eingetragen ist, falls Sie einen FQDN für Ihren Controller verwenden.
- Die Option „Require clients to use your UniFi Network DNS servers” kann Probleme verursachen, wenn Ihre internen DNS-Server nicht korrekt konfiguriert sind oder nicht erreichbar sind. Deaktivieren Sie diese testweise.
- Speicherplatz/Ressourcen des Controllers: Wenn Ihr Controller auf einem Gerät mit begrenzten Ressourcen (z.B. einem älteren Cloud Key Gen1 oder einem schwachen PC) läuft und viele Daten oder Logs ansammelt, kann dies die Leistung beeinträchtigen und das Portal langsam oder unzuverlässig machen.
4. DNS-Probleme im Gast-Netzwerk
Ein Klassiker: Wenn der Client die Portal-Seite nicht laden kann, liegt es oft daran, dass er den Hostnamen des Controllers oder externer Dienste nicht auflösen kann.
- Stellen Sie sicher, dass der DHCP-Server für das Gast-Netzwerk gültige und erreichbare DNS-Server verteilt (z.B. 8.8.8.8 und 8.8.4.4 von Google oder Ihren internen DNS-Server, der vom Gast-Netzwerk aus erreichbar ist).
- Wie bereits unter Punkt 2 erwähnt, müssen diese DNS-Server-IPs unbedingt in der Pre-Authorization-Liste der Gastkontrolle aufgeführt sein. Andernfalls kann der Client keine DNS-Anfragen stellen, bevor er autorisiert ist.
5. Gateway-Redirection-Probleme
Manchmal sind es nicht die Firewall-Regeln oder DNS, sondern das Zusammenspiel der Redirection.
- Browser-Caching: Versuchen Sie, sich mit einem anderen Gerät oder im Inkognito-Modus (Privatmodus) des Browsers zu verbinden. Manchmal speichert der Browser noch alte Umleitungs-Informationen.
- Manuelle Verbindung: Nachdem Sie sichergestellt haben, dass die Pre-Authorization-Regeln für den Controller gesetzt sind, versuchen Sie testweise, die IP-Adresse Ihres Controllers direkt im Browser eines nicht autorisierten Gast-Clients einzugeben (z.B.
http://192.168.1.5:8880/guest/s/default/oderhttps://192.168.1.5:8843/guest/s/default/– der genaue Pfad kann variieren). Wenn die Seite dann lädt, wissen Sie, dass die Umleitung durch den AP fehlschlägt, aber der Controller erreichbar ist. - DNS-Hijacking / Transparente Proxys: Einige Router oder ISPs versuchen, DNS-Anfragen abzufangen oder den gesamten HTTP-Verkehr transparent umzuleiten. Dies kann mit der UniFi Captive Portal-Logik kollidieren. Prüfen Sie die Einstellungen Ihres Haupt-Routers.
6. AP-Probleme und Gast-Isolation
Auch die Access Points können eine Rolle spielen:
- AP-Firmware: Stellen Sie sicher, dass alle UniFi APs die neueste stabile Firmware-Version verwenden. Veraltete Firmware kann Kompatibilitätsprobleme verursachen.
- AP-Isolation / Client-Isolation: UniFi bietet die Option „Client Device Isolation” im Gast-WLAN. Diese verhindert, dass Gäste miteinander kommunizieren können. Sie kann aber in seltenen Fällen auch die Kommunikation mit dem Controller beeinträchtigen, wenn dieser sich im selben Segment befindet. Prüfen Sie diese Einstellung und deaktivieren Sie sie testweise.
- AP Provisioning: Manchmal hilft es, einen AP neu zu provisionieren (einfach einen Neustart des APs erzwingen oder ihn im Controller „Forget” und neu „Adopt” zu lassen).
Fortgeschrittene Fehlerbehebung & Best Practices
Wenn die oben genannten Schritte nicht zum Erfolg führen, müssen Sie tiefer graben:
- Logs prüfen:
- UniFi Controller Logs: Der Controller generiert Logs, die Hinweise auf Probleme geben können. Suchen Sie nach Fehlern im Zusammenhang mit dem Gast-Portal oder Authentifizierungsproblemen. (Oft unter
/usr/lib/unifi/logs/server.logauf Linux-Systemen oder in den Log-Dateien Ihres Cloud Keys/UDM). - Syslog auf Gateways/Firewalls: Prüfen Sie die Log-Dateien Ihres Routers oder Ihrer Firewall auf geblockten Datenverkehr vom Gast-VLAN zu Ihrem Controller.
- UniFi Controller Logs: Der Controller generiert Logs, die Hinweise auf Probleme geben können. Suchen Sie nach Fehlern im Zusammenhang mit dem Gast-Portal oder Authentifizierungsproblemen. (Oft unter
- Paket-Sniffer (Wireshark): Dies ist das ultimative Werkzeug für die Netzwerkanalyse. Installieren Sie Wireshark auf einem Laptop, verbinden Sie diesen mit dem Gast-WLAN und versuchen Sie, auf eine Webseite zuzugreifen. Analysieren Sie den Datenverkehr:
- Wird eine DHCP-Anfrage gesendet und eine Antwort empfangen?
- Welcher DNS-Server wird angefragt? Erhalten Sie eine Antwort?
- Wird ein HTTP/HTTPS-Request gesendet? Wohin? Sehen Sie eine Umleitung (HTTP 302)?
- Versucht der Client, eine Verbindung zur IP-Adresse des Controllers auf Port 8880/8843 herzustellen? Erhält er eine Antwort?
Dies kann genau aufzeigen, wo in der Kommunikationskette das Problem liegt.
- Test-Umgebung: Wenn möglich, isolieren Sie das Problem. Erstellen Sie ein minimales Test-WLAN nur mit den grundlegendsten Einstellungen für das Captive Portal. Funktioniert es dort? Dann fügen Sie Schritt für Schritt Ihre komplexeren Regeln hinzu.
- Controller Backup & Restore: Bevor Sie größere Änderungen vornehmen, erstellen Sie ein Backup Ihrer Controller-Konfiguration. Im Notfall können Sie einen funktionierenden Zustand wiederherstellen.
- UniFi Support & Community: Wenn alles andere fehlschlägt, ist der UniFi Support eine Option. Auch die große und aktive UniFi Community in den offiziellen Foren kann oft spezifische Probleme lösen, die bei anderen Nutzern bereits aufgetreten sind. Geben Sie dort so viele Details wie möglich an.
Checkliste für ein funktionierendes Captive Portal (Zusammenfassung)
Gehen Sie diese Punkte systematisch durch, um Ihr UniFi Captive Portal wieder zum Laufen zu bringen:
- Controller-Status: Ist der UniFi Controller online und erreichbar? Sind die APs „Connected”?
- Gast-WLAN-Einstellungen: VLAN, Subnetz und DHCP-Server im UniFi Controller korrekt konfiguriert?
- DHCP & DNS für Gäste: Erhalten Gäste eine IP-Adresse und funktionierende DNS-Server?
- Firewall Pre-Authorization: Sind die IP-Adresse des Controllers und die DNS-Server-IPs in der Pre-Authorization-Liste der Gastkontrolle eingetragen?
- Firewall-Regeln (extern): Blockiert Ihre externe Firewall den Zugriff vom Gast-VLAN auf den UniFi Controller (Ports 80, 443, 8880, 8843, 8443) oder auf die DNS-Server?
- Gast-Portal aktiviert: Ist das Captive Portal im UniFi Controller überhaupt aktiv?
- Browser-Caching: Mit Inkognito-Modus oder anderem Gerät testen.
- AP-Firmware & Isolation: APs aktuell? Client Device Isolation testweise deaktiviert?
Fazit
Ein nicht funktionierendes UniFi Captive Portal kann eine echte Herausforderung sein, aber in den allermeisten Fällen ist die Lösung nur eine korrekte Konfiguration oder Firewall-Regel entfernt. Der Schlüssel liegt in der systematischen Fehlersuche und dem Verständnis, wie die verschiedenen Komponenten des UniFi-Ökosystems zusammenarbeiten. Gehen Sie die Schritte dieses Guides sorgfältig durch, und Sie werden Ihr UniFi Captive Portal WLAN mit hoher Wahrscheinlichkeit wieder erfolgreich in Betrieb nehmen können. Ein zuverlässiges Gast-WLAN mit Captive Portal ist nicht nur eine Annehmlichkeit, sondern eine professionelle Visitenkarte für Ihr Unternehmen oder Ihre Einrichtung – es lohnt sich, die Zeit in die korrekte Einrichtung zu investieren!