So richten Sie ein Captive Portal auf Starlink ein: Ein Leitfaden für abgelegene und maritime Standorte
Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink - Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Satelliten-Bandbreitenbeschränkungen verwalten und die Einhaltung gesetzlicher Vorschriften gewährleisten.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technische Vertiefung
- Die CGNAT-Einschränkung
- Reverse-Tunnel-Architektur
- Bandbreitenbeschränkungen und Traffic Shaping
- Implementierungshandbuch
- Schritt 1: Bypass-Modus aktivieren
- Schritt 2: VLAN-Segmentierung konfigurieren
- Schritt 3: Cloud-basiertes Captive Portal bereitstellen
- Schritt 4: Testen des Benutzerflusses
- Best Practices
- Fehlerbehebung und Risikominderung
- ROI und geschäftlicher Nutzen

Executive Summary
Starlink bietet Konnektivität mit bis zu 220 Mbps an Orten, an denen Glasfaser nicht verfügbar ist, und verändert damit die Netzwerklandschaft für abgelegene Standorte und maritime Betriebe grundlegend. Für öffentlich zugängliche Umgebungen reicht Konnektivität allein jedoch nicht aus. Wenn Sie Starlink für Gäste, Passagiere oder Besatzungsmitglieder bereitstellen, müssen Sie Authentifizierung, Zugriffskontrolle, GDPR-konforme Einwilligung und Bandbreitenmanagement implementieren. Der native Starlink-Router bietet keine dieser Funktionen.
Diese Anleitung erklärt im Detail, wie Sie die native Starlink-Hardware umgehen und ein in der Cloud verwaltetes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die Einschränkungen von Carrier Grade NAT (CGNAT) überwinden, VLAN-Segmentierung implementieren, Satellitenbandbreitenbeschränkungen verwalten und die Einhaltung gesetzlicher Vorschriften gewährleisten.
Durch die Implementierung dieser Architektur verwandeln Standortbetreiber eine ungesteuerte Internetleitung in ein sicheres, segmentiertes Netzwerk, das First-Party-Daten erfasst und die zentrale Unternehmensinfrastruktur schützt.
Technische Vertiefung
Die CGNAT-Einschränkung
Die größte technische Hürde bei der Bereitstellung eines Captive Portal auf Starlink ist Carrier Grade NAT (CGNAT). Die Standard-Starlink-Antenne verbindet sich mit einem proprietären Router, der DHCP und NAT übernimmt. Standardmäßig liegt die Ihrem Gerät zugewiesene WAN-IP-Adresse im Bereich 100.64.0.0/10. Da es sich hierbei nicht um eine öffentliche IP-Adresse handelt, kann Ihr Router keine eingehenden Verbindungen aus dem Internet empfangen.
Standardmäßige Captive Portal-Architekturen setzen oft voraus, dass das Cloud-Portal auf Ihr Netzwerk zugreifen kann, um Benutzer zu authentifizieren oder Zugriffssteuerungslisten zu aktualisieren. Mit CGNAT schlagen eingehende Verbindungen fehl.
Um dies zu beheben, müssen Sie die Starlink-Antenne im Bypass-Modus (oft auch als Bridge-Modus bezeichnet) konfigurieren. Im Bypass-Modus sind die Funktionen des Starlink-Routers deaktiviert, und die Antenne leitet die CGNAT-Adresse direkt an den WAN-Port Ihres Enterprise-Routers weiter. Ihr Enterprise-Router übernimmt dann die vollständige Kontrolle über die Routing-Ebene.

Reverse-Tunnel-Architektur
Selbst wenn der Enterprise-Router den Datenverkehr verarbeitet, bleibt die CGNAT-Einschränkung für eingehende Verbindungen bestehen. Die Lösung ist eine Reverse-Tunnel-Architektur. Ihr Router baut eine ausgehende Verbindung zum Cloud-Portal auf und hält diese kontinuierlich aufrecht. Der gesamte Authentifizierungsverkehr fließt über diesen aufgebauten Tunnel. Die Cloud-Infrastruktur muss niemals eine eingehende Verbindung initiieren.
Die Cloud-Overlay-Architektur von Purple bewältigt dies nativ. Sie müssen keine manuellen VPN-Tunnel konfigurieren. Wenn Ihre Bereitstellung eine statische IP für ältere On-Premises-RADIUS-Server oder ein strenges IP-Allowlisting erfordert, bieten die Starlink Business- und Maritime-Tarife eine statische IP als kostenpflichtiges Add-on.
Bandbreitenbeschränkungen und Traffic Shaping
Satellitenbandbreite ist eine gemeinsam genutzte, begrenzte Ressource. Ein einziger Benutzer, der ein 4K-Video streamt, kann kontinuierlich 25 Mbps verbrauchen. Auf einem Schiff mit 50 Passagieren, die sich eine Starlink-Verbindung mit 220 Mbps teilen, könnte ein einziger Benutzer 11 % der Gesamtkapazität beanspruchen.
Sie müssen dem auf Ebene des Captive Portals und des Routers durch aggressives Traffic Shaping entgegenwirken:
- Limits pro Gerät: Begrenzen Sie einzelne Gastgeräte auf 5 Mbps Download und 2 Mbps Upload.
- Fair-Use-Richtlinien: Setzen Sie tägliche Datenlimits durch (z. B. 2 GB pro 24 Stunden).
- Anwendungssteuerung: Priorisieren Sie Web-Browsing und Messaging-Protokolle gegenüber Video-Streaming und Peer-to-Peer-Dateifreigabe.
- Abgestufter Zugriff: Bieten Sie eine kostenlose Stufe für die Basis-Konnektivität und eine kostenpflichtige Premium-Stufe für Streaming an, um die WiFi-Infrastruktur von einer Kostenstelle in eine Einnahmequelle zu verwandeln.

Implementierungshandbuch
Befolgen Sie diese Schritte, um ein sicheres Captive Portal auf Starlink unter Verwendung von Enterprise-Hardware bereitzustellen.
Schritt 1: Bypass-Modus aktivieren
- Installieren Sie die Starlink-Hardware und überprüfen Sie die Verbindung mit dem Original-Router.
- Öffnen Sie die mobile Starlink-Anwendung und navigieren Sie zu Settings.
- Wählen und bestätigen Sie Bypass Starlink WiFi router.
- Verbinden Sie den Starlink-Ethernet-Adapter mit dem WAN-Port Ihres Enterprise-Routers (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet).
Hinweis: Wenn die Starlink-Antenne auf die Werkseinstellungen zurückgesetzt wird, wird der Bypass-Modus automatisch deaktiviert. Dokumentieren Sie dies in Ihrem Standort-Runbook und konfigurieren Sie einen Überwachungsalarm auf der WAN-Schnittstelle Ihres Routers.
Schritt 2: VLAN-Segmentierung konfigurieren
Sie müssen den Gast-Datenverkehr von Ihren Kerngeschäftssystemen isolieren. Konfigurieren Sie mindestens drei VLANs auf Ihrem Core-Switch und Ihren Access Points:
- VLAN 10 (Mitarbeiter): Überträgt POS-Systeme, Backoffice-Anwendungen und Administrations-Traffic.
- VLAN 20 (Gast): Reines Internet-Segment, das zum Captive Portal weiterleitet.
- VLAN 30 (IoT): Isoliertes Netzwerk für Kameras, intelligente Thermostate und Gebäudemanagementsysteme.
Konfigurieren Sie Firewall-Regeln, um jegliches Inter-VLAN-Routing zu blockieren. Ein Gastgerät auf VLAN 20 darf niemals in der Lage sein, ein POS-Terminal auf VLAN 10 anzupingen. Diese Segmentierung ist eine strikte Anforderung für die PCI-DSS-Compliance.
Schritt 3: Cloud-basiertes Captive Portal bereitstellen
- Konfigurieren Sie Ihre Access Points so, dass sie die Gast-SSID auf VLAN 20 ausstrahlen.
- Legen Sie die Authentifizierungsmethode auf externen RADIUS fest oder nutzen Sie die API-Integration des Herstellers.3. Weisen Sie den Authentifizierungsserver auf die Cloud-Infrastruktur von Purple hin.
- Konfigurieren Sie den Walled Garden (Allowlist), um den Datenverkehr zu den Domains von Purple zuzulassen, bevor die Authentifizierung abgeschlossen ist.
- Gestalten Sie die Splash-Page im Purple Portal und stellen Sie sicher, dass das Branding zu Ihrem Veranstaltungsort passt und die Nutzungsbedingungen klar angezeigt werden.
Schritt 4: Testen des Benutzerflusses
Testen Sie den Authentifizierungsfluss sowohl auf iOS- als auch auf Android-Geräten. Apples Captive Network Assistant (CNA) und die Netzwerkprüfung von Android verhalten sich unterschiedlich. Überprüfen Sie, ob die Splash-Page innerhalb von 10 Sekunden geladen wird und das Gerät sofort nach der Authentifizierung Internetzugang erhält.
Best Practices
- HTTPS-Interception: Stellen Sie sicher, dass Ihr Router die HTTPS-Interception korrekt verarbeitet. Moderne Geräte verwenden standardmäßig HTTPS. Wenn der Router HTTPS-Anfragen nicht sauber umleiten kann, treten bei Gästen Zertifikatsfehler auf, bevor sie das Portal erreichen.
- Session Keepalive: Die LEO-Konstellation (Low Earth Orbit) von Starlink bietet Latenzzeiten von 20 bis 40 Millisekunden, jedoch treten während der Satellitenübergabe kurze Spitzen auf. Stellen Sie das Session Keepalive-Intervall Ihres Captive Portals auf 60 Sekunden oder weniger ein, um eine vorzeitige Trennung der Verbindung zu verhindern.
- Offline-Caching: Konfigurieren Sie Ihren Router so, dass aktive Sitzungen lokal zwischengespeichert werden. Wenn die Starlink-Verbindung vorübergehend unterbrochen wird, bleiben bereits authentifizierte Gäste online, sobald die Verbindung wiederhergestellt ist, anstatt sich erneut anmelden zu müssen.
Fehlerbehebung und Risikominderung
| Fehlermodus | Ursache | Risikominderung |
|---|---|---|
| Captive Portal lädt nicht | Falsche Walled Garden-Konfiguration | Überprüfen Sie, ob alle erforderlichen Purple-Domains und CDN-Endpunkte zur Pre-Authentifizierungs-Allowlist auf dem Router hinzugefügt wurden. |
| Double NAT-Fehler | Bypass-Modus ist deaktiviert | Überprüfen Sie die Starlink-App, um zu bestätigen, dass der Bypass-Modus aktiv ist. Stromschwankungen oder manuelle Resets haben die Antenne möglicherweise auf die Standardeinstellungen zurückgesetzt. |
| Langsame Gast-Geschwindigkeiten | Unbeschränkte Bandbreite | Wenden Sie Bandbreitenbegrenzungen pro Gerät an (z. B. 5 Mbps) und blockieren Sie Anwendungen mit hoher Bandbreite wie BitTorrent auf der Firewall. |
| Fehlgeschlagene Sicherheitsprüfung | Inter-VLAN-Routing ist aktiviert | Überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass der Datenverkehr aus dem Gäste-VLAN nicht an das Mitarbeiter- oder Management-VLAN weitergeleitet werden kann. |
ROI und geschäftlicher Nutzen
Die Bereitstellung eines verwalteten Captive Portals auf Starlink verwandelt eine reine Internetverbindung in ein messbares Geschäftsgut.
Bei einem Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbps nutzt, bringt ein ungesteuerter Zugang keinen geschäftlichen Ertrag. Durch den Einsatz von Cisco Meraki Access Points und dem Captive Portal von Purple kann der Betreiber ein tägliches Limit von 2 GB für Standard-Passagiere durchsetzen, während ein Premium-Tarif mit 10 GB als Upsell angeboten wird. Die daraus resultierenden WiFi-Einnahmen decken die monatlichen Starlink-Abonnementkosten von über 250 USD. Darüber hinaus erfasst das Portal vollständig datenschutzkonforme First-Party-E-Mail-Daten, was die Direktmarketing-Liste des Betreibers für zukünftige Reisen erweitert. In einer abgelegenen Hotelumgebung reduziert die Bereitstellung eines Portals mit strengen Bandbreitenrichtlinien die Beschwerden von Gästen über langsames WiFi um bis zu 60%, da verhindert wird, dass Power-User die Satellitenverbindung monopolisieren.
Schlüsseldefinitionen
Bypass-Modus
Eine Konfigurationseinstellung, die die DHCP- und NAT-Funktionen des nativen Starlink-Routers deaktiviert und die WAN-IP direkt an einen Enterprise-Router eines Drittanbieters weiterleitet.
Erforderlich bei der Integration von Enterprise-Netzwerkgeräten mit einer Starlink-Antenne, um Doppel-NAT und Routing-Konflikte zu vermeiden.
CGNAT (Carrier Grade NAT)
Eine von ISPs verwendete Methode, um eine einzige öffentliche IP-Adresse mit mehreren Kunden zu teilen. Der Router des Kunden erhält eine private IP-Adresse (normalerweise 100.64.0.0/10).
Starlink verwendet standardmäßig CGNAT, was eingehende Verbindungen aus dem Internet verhindert und Reverse-Tunnel-Architekturen für das Cloud-Management erfordert.
VLAN (Virtual Local Area Network)
Ein logisches Subnetz, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.
Wird verwendet, um den Gast-WiFi-Verkehr vom Personal- und IoT-Netzwerk zu isolieren, um Sicherheit und Compliance zu gewährleisten.
Captive Portal
Eine Webseite, die ein Benutzer eines öffentlichen Zugangsnetzwerks anzeigen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.
Wird verwendet, um Nutzungsbedingungen durchzusetzen, Marketingdaten zu erfassen und Benutzer in Gast-WiFi-Netzwerken zu authentifizieren.
Walled Garden
Eine begrenzte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig authentifiziert hat.
Erforderlich, damit Gastgeräte das Cloud-Captive-Portal und die Authentifizierungsserver erreichen können, bevor ihnen der vollständige Internetzugang gewährt wird.
RADIUS
Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung für Benutzer bereitstellt, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.
Das zugrunde liegende Protokoll, das von Enterprise Access Points verwendet wird, um mit dem Cloud-Captive-Portal zu kommunizieren, um Benutzeranmeldedaten zu überprüfen.
Traffic Shaping
Die Steuerung und Priorisierung des Netzwerkverkehrs, um die Auswirkungen von Intensivnutzern oder latenzempfindlichen Anwendungen zu reduzieren.
Unerlässlich in Starlink-Netzwerken, um das Surfen im Internet gegenüber bandbreitenintensiven Aktivitäten wie Videostreaming zu priorisieren.
First-Party-Daten
Informationen, die ein Unternehmen direkt von seinen Kunden sammelt und selbst besitzt.
Erfasst über den Registrierungsprozess des Captive Portals (z. B. E-Mail-Adressen) und genutzt für Direktmarketing- und Loyalitätskampagnen.
Ausgearbeitete Beispiele
Ein Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbps nutzt, muss Passagier-WiFi bereitstellen, ohne den Schiffsbetrieb zu beeinträchtigen. Es wird ein Mechanismus benötigt, um die Verbindung zu monetarisieren und Marketingdaten zu erfassen.
Der Betreiber installiert Cisco Meraki Access Points auf dem gesamten Schiff mit drei strikten VLANs: Crew, Passagiere und Schiffssysteme. Das Captive Portal von Purple verwaltet die Passagierauthentifizierung per E-Mail oder über eine mit dem PMS integrierte Kabinenabfrage. Jeder Passagier erhält ein tägliches Kontingent von 2 GB. Premium-Passagiere können ein Kontingent von 10 GB erwerben. Das Portal erfasst First-Party-E-Mail-Daten für das Marketing nach der Reise.
Ein abgelegenes Hotel in den Highlands ohne Glasfaserinfrastruktur betreibt Starlink Business mit 150 Mbps. Gäste beschweren sich abends häufig über langsame Geschwindigkeiten, und das Hotel hat keine Übersicht darüber, wer das Netzwerk nutzt.
Das Hotel installiert HPE Aruba Access Points im Hauptgebäude und in den Nebengebäuden. Die Starlink-Antenne wird im Bypass-Modus konfiguriert und mit einem Aruba Gateway verbunden. Gäste authentifizieren sich per E-Mail über das Portal von Purple. Das Hotel erzwingt ein striktes Bandbreitenlimit von 5 Mbps pro Gerät und nutzt die Analysen von Purple, um die Hauptnutzungszeiten zu überwachen.
Übungsfragen
Q1. Ein abgelegenes Minencamp hat Starlink Business bereitgestellt. Es hat eine Cisco Meraki MX Firewall an den Starlink-Router angeschlossen. Gäste können sich mit dem WiFi verbinden, aber die Seite des Captive Portals läuft in ein Timeout und lädt nicht. Was ist die wahrscheinlichste Ursache?
Hinweis: Berücksichtigen Sie, wie die Starlink-Hardware standardmäßig das Routing handhabt und was die Meraki-Firewall benötigt, um den Datenverkehr effektiv zu verwalten.
Musterlösung anzeigen
Die Starlink-Antenne wurde nicht in den Bypass Mode versetzt. Infolgedessen leidet das Netzwerk unter doppeltem NAT (der Starlink-Router und die Meraki-Firewall versuchen beide, eine Netzwerkadressübersetzung durchzuführen). Der Administrator muss die Starlink-App verwenden, um den Bypass Mode zu aktivieren, damit die Meraki-Firewall die CGNAT-IP direkt empfangen und das Routing sowie das Abfangen des Captive Portals verwalten kann.
Q2. Sie stellen ein Captive Portal für ein Hotel unter Verwendung von Starlink bereit. Sie haben den Bypass Mode und eine VLAN-Segmentierung konfiguriert. Beim Testen stellen Sie fest, dass Apple-Geräte den Benutzer sofort zur Anmeldung auffordern, einige Android-Geräte jedoch einen Zertifikatsfehler anzeigen, wenn der Benutzer versucht, vor der Authentifizierung eine sichere Website aufzurufen. Wie lösen Sie das?
Hinweis: Denken Sie darüber nach, wie moderne Browser erste Verbindungsanfragen handhaben und was der Router tun muss, um diese sauber abzufangen.
Musterlösung anzeigen
Der Enterprise-Router ist nicht so konfiguriert, dass er das HTTPS-Abfangen für die Weiterleitung zum Captive Portal korrekt handhabt. Moderne Browser verwenden standardmäßig HTTPS. Wenn der Benutzer versucht, vor der Authentifizierung eine HTTPS-Seite aufzurufen, fängt der Router den Datenverkehr ab und präsentiert sein eigenes Zertifikat, das der Browser als ungültig ablehnt. Sie müssen sicherstellen, dass die Captive Portal-Einstellungen des Routers so konfiguriert sind, dass sie ein gültiges SSL-Zertifikat für die Weiterleitung verwenden, oder sich auf die Netzwerk-Probes auf Betriebssystemebene (wie die CNA von Apple) verlassen, die HTTP-Endpunkte verwenden, um das Portal automatisch auszulösen.
Q3. Ein Schifffahrtsunternehmen beklagt sich darüber, dass seine Starlink Maritime-Verbindung (220 Mbps) jeden Abend unbrauchbar wird. Momentan wird ein offenes, passwortfreies Gästenetzwerk angeboten. Welche drei spezifischen Konfigurationen sollten Sie auf dem Enterprise-Router und dem Captive Portal implementieren, um dies zu beheben?
Hinweis: Konzentrieren Sie sich darauf, zu kontrollieren, wie viele Daten einzelne Benutzer verbrauchen können, und kritische Datenverkehrsarten zu priorisieren.
Musterlösung anzeigen
- Implementieren Sie ein Captive Portal, das eine Authentifizierung erfordert, um einzelne Benutzer zu verfolgen und zu verwalten. 2. Setzen Sie Bandbreitenbegrenzungen pro Gerät durch (z. B. 5 Mbps Down / 2 Mbps Up), um zu verhindern, dass ein einzelner Benutzer die Verbindung monopolisiert. 3. Wenden Sie Traffic-Shaping-Regeln auf der Firewall an, um das Surfen im Web und Messaging-Protokolle zu priorisieren, während bandbreitenintensive Anwendungen wie Video-Streaming und P2P-Dateifreigabe gedrosselt oder blockiert werden.
Weiterlesen in dieser Reihe
Captive Portal für Ruijie: Einrichtung mit Purple Gäste-WiFi
Wie das Cloud-Gäste-WiFi von Purple über Web-Authentifizierung und RADIUS auf Ruijie RG Series Access Points aufsetzt, konfiguriert über die Befehlszeile, und wo Sie die genauen Einrichtungsschritte finden.
B2B Captive Portals gestalten: Erfassung von registrierten Namen und Unternehmensdaten
Dieser Leitfaden bietet IT-Managern und Betreibern von Veranstaltungsorten ein herstellerneutrales technisches Framework für das Design von B2B Captive Portals. Er beschreibt im Detail, wie Registrierungsfelder strukturiert werden sollten, um registrierte Namen und Unternehmensdaten zu erfassen, um hohe Ausfüllraten zu gewährleisten, während gleichzeitig die GDPR-Konformität gewahrt und Account-Level-Intelligence aufgebaut wird.
Captive Portal Architektur: Sicherheit, Umleitung und Best Practices
Ein definitives technisches Referenzdokument zur Captive Portal-Architektur in Unternehmen. Dieser Leitfaden beleuchtet Netzwerkisolierung, DNS-Umleitung, RADIUS-Authentifizierung und Sicherheitskonformität für IT-Entscheider, die sichere, datenreiche Gäste-WiFi-Netzwerke bereitstellen.