A ideia de uma rede de portal cativa é que você tem uma rede configurada para, por padrão, praticamente bloquear todo o tráfego, exceto DHCP e DNS, e redirecionar todo o tráfego HTTP para uma página web especial em um servidor web local que contenha um formulário que permite autenticar. Seja qual for o CGI ou o que estiver no servidor da Web que lida com esse formulário de autenticação, ele informa à rede para parar o bloqueio / redirecionamento do tráfego para o cliente (endereço MAC e / ou endereço IP) que acabou de ser autenticado.
Para carregar essa página da Web, o cliente já deve ter um endereço IP.
Se você deseja que os clientes autentiquem antes de obter um endereço IP, não é possível usar o portal cativo. Você provavelmente tem que fazer o WPA2-Enterprise (802.1X), assumindo que você não quer que todos compartilhem uma única frase-senha para toda a rede.