Zum Hauptinhalt springen
Deutsch

Einrichtung eines Captive Portals auf Starlink: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

📖 5 Min. Lesezeit📝 1,227 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton – wie ein leitender Berater, der einen Kunden brieft. Gemessenes Tempo, klare Artikulation, herzlich, aber professionell. Keine Füllwörter. Gelegentliche kurze Pausen zur Betonung: Willkommen beim Purple Technical Briefing. Ich werde Sie durch alles führen, was Sie über die Einrichtung eines Captive Portals auf Starlink wissen müssen – insbesondere für abgelegene Standorte, maritime Betreiber und alle, die ein Gäste-WiFi betreiben, wo Glasfaser einfach keine Option ist. [medium pause] Beginnen wir mit dem Problem. Starlink hat das Konnektivitätsbild für Standorte, die zuvor auf langsame, teure Satellitenverbindungen oder lückenhaftes 4G angewiesen waren, grundlegend verändert. Ein Kreuzfahrtschiff, ein abgelegenes Highland-Hotel, eine Baustellenunterkunft, ein Festivalgelände auf einem Feld – all diese können jetzt 100 bis 220 Megabit pro Sekunde über eine Antenne von der Größe einer großen Pizza empfangen. Das ist bemerkenswert. Aber hier ist der Haken: Die reine Konnektivität ist nur die halbe Miete. Sobald Sie diese Verbindung Gästen, Passagieren oder der Crew zur Verfügung stellen, benötigen Sie Authentifizierung, Zugriffskontrolle, GDPR-konforme Einwilligung und Bandbreitenmanagement. Starlink bietet Ihnen all das nicht standardmäßig. Hier kommt ein Captive Portal ins Spiel. Und genau das werden wir heute aufbauen. [medium pause] Abschnitt eins: Die Netzwerkbeschränkungen von Starlink verstehen. Bevor Sie einen Router anfassen, müssen Sie verstehen, was Starlink Ihnen tatsächlich an der WAN-Schnittstelle bietet. Die Standard-Starlink-Antenne wird mit einem proprietären Router verbunden, der DHCP und NAT übernimmt. Standardmäßig befinden Sie sich hinter Carrier-Grade NAT – was Ingenieure als CGNAT bezeichnen. Das bedeutet, dass Ihre WAN-IP-Adresse im Bereich von 100.64 bis 100.127 liegt. Es ist keine öffentliche IP. Sie können keine eingehenden Verbindungen aus dem Internet empfangen. Und das ist für die Architektur des Captive Portals von enormer Bedeutung. Die Lösung ist der Bypass-Modus – manchmal auch Bridge-Modus genannt. Sie aktivieren diesen in der Starlink-App unter Einstellungen und aktivieren dann „Bypass Starlink WiFi router“. Nach der Aktivierung leitet die Starlink-Antenne die CGNAT-Adresse direkt an den WAN-Port Ihres Enterprise-Routers weiter. Der Starlink-Router übernimmt kein DHCP und NAT mehr. Ihr Router übernimmt die Kontrolle. Sie befinden sich zwar immer noch hinter CGNAT, haben nun aber die volle Kontrolle über die Routing-Ebene. Ein wichtiger Punkt: Wenn die Starlink-Antenne aus irgendeinem Grund auf die Werkseinstellungen zurückgesetzt wird, ist der Bypass-Modus deaktiviert. Sie müssen ihn dann erneut aktivieren. Planen Sie das in Ihr Betriebshandbuch vor Ort ein. [medium pause] Starlink bietet drei für Standortbetreiber relevante Tarifstufen an. Standard bietet Ihnen bis zu 100 Megabit Downstream, Best-Effort-Priorität und keine Option für eine statische IP. Business bietet Ihnen bis zu 220 Megabit, prioritäre Datenzuteilung und ein statisches IP-Add-on. Maritime bietet die gleichen Geschwindigkeiten mit globaler Portabilität – unerlässlich, wenn sich das Schiff zwischen Ozeanregionen bewegt. Für jeden Standort mit mehreren Benutzern empfehle ich mindestens Business oder Maritime. Best-Effort-Daten bei Standard bedeuten, dass Ihre Gäste herabgestuft werden, sobald die Satellitenzelle überlastet ist. [medium pause] Abschnitt zwei: Der Architektur-Stack. Hier ist der vierstufige Stack, den Sie aufbauen. Ebene eins ist der Starlink-Uplink im Bypass-Modus. Ebene zwei ist Ihr Enterprise-Router oder Ihre Firewall – Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet – all diese funktionieren. Ebene drei ist die VLAN-Segmentierung auf Switch- oder Access-Point-Ebene. Ebene vier ist das Cloud-Captive-Portal, das Authentifizierung, Einwilligung und Analysen verwaltet. Lassen Sie mich kurz auf die VLAN-Segmentierung eingehen, da diese nicht verhandelbar ist. Sie benötigen mindestens drei VLANs. VLAN 10 für das Personal – dieses überträgt Ihre POS-Systeme, Back-Office-Anwendungen und den Verwaltungsdatenverkehr. VLAN 20 für Gäste – dies ist das reine Internetsegment, das auf das Captive Portal leitet. VLAN 30 für IoT – Kameras, intelligente Thermostate, Gebäudemanagementsysteme. Diese drei Netzwerke dürfen nicht miteinander kommunizieren können. Das Inter-VLAN-Routing sollte an der Firewall blockiert werden. Ein Gast auf VLAN 20 darf niemals in der Lage sein, Ihr POS-Terminal auf VLAN 10. Das ist nicht nur Best Practice – es ist eine PCI-DSS-Anforderung, wenn Sie irgendwo auf derselben physischen Infrastruktur Kartenzahlungen verarbeiten. [medium pause] Das Captive Portal selbst befindet sich in der Cloud. Wenn sich ein Gast mit Ihrer Gäste-SSID verbindet und einen Browser öffnet, fängt der Router die HTTP-Anfrage ab und leitet sie auf die Login-Seite des Portals weiter. Der Gast authentifiziert sich – per E-Mail, Social Login oder Gutscheincode –, akzeptiert Ihre Nutzungsbedingungen, und das Portal signalisiert dem Router, dieser MAC-Adresse Internetzugang zu gewähren. Der gesamte Ablauf sollte auf einem Mobilgerät in weniger als 10 Sekunden abgeschlossen sein. Mit Purple lässt sich dieses Cloud-Portal direkt in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Sie konfigurieren die RADIUS- oder API-Integration einmal, und Purple übernimmt den Authentifizierungs-Handshake. Es ist kein lokaler Authentifizierungsserver erforderlich. Das ist entscheidend für abgelegene Standorte, an denen Sie keinen lokalen RADIUS-Server betreiben können. [medium pause] Abschnitt drei: Das CGNAT-Problem und wie man es löst. Hier ist die Herausforderung, die die meisten IT-Teams übersehen. Standard-Captive-Portal-Architekturen gehen davon aus, dass das Cloud-Portal auf Ihr Netzwerk zugreifen kann. Mit CGNAT ist das unmöglich. Eingehende Verbindungen sind blockiert. Die Lösung ist ein Reverse-Tunnel. Ihr Router baut eine ausgehende Verbindung zum Cloud-Portal auf und hält diese dauerhaft offen. Der gesamte Authentifizierungsdatenverkehr fließt durch diesen Tunnel. Die Cloud muss niemals eine eingehende Verbindung initiieren. Die Cloud-Overlay-Architektur von Purple handhabt dies nativ – Sie müssen WireGuard oder OpenVPN nicht manuell konfigurieren, obwohl beide gültige Alternativen sind, wenn Sie Ihre eigene Infrastruktur betreiben. Wenn Sie eine statische IP benötigen – zum Beispiel, weil Sie einen RADIUS-Server vor Ort betreiben oder ein konsistentes IP-Allowlisting benötigen –, bieten die Tarife Starlink Business und Maritime eine statische IP als Add-on an. Zum Zeitpunkt dieser Aufnahme ist dies in den meisten Regionen verfügbar. Überprüfen Sie die aktuellen Tarife von Starlink für Ihr spezifisches Gebiet. [medium pause] Abschnitt vier: GDPR und Daten-Compliance. Hier werden abgelegene und maritime Standorte oft überrascht. Die Tatsache, dass sich Ihr Standort auf einem Schiff in internationalen Gewässern oder an einem abgelegenen Ort befindet, entbindet Sie nicht von der GDPR, wenn Sie Daten von EU-Bürgern erfassen. Und wenn Sie nach dem Brexit in Gewässern des Vereinigten Königreichs operieren, gilt die UK GDPR. Ihr Captive Portal muss ein spezifisches, nicht vorab ausgewähltes Kontrollkästchen für die Einwilligung zu Marketingmitteilungen enthalten. Es muss klar angegeben werden, welche Daten Sie erfassen, warum und wie lange Sie diese aufbewahren. Die Nutzungsbedingungen müssen zugänglich sein, bevor sich der Gast authentifiziert. Und Sie müssen auf Anfrage nachweisen können, dass eine bestimmte Person an einem bestimmten Datum und zu einer bestimmten Uhrzeit ihre Einwilligung erteilt hat. Purple ist ISO 27001-zertifiziert, GDPR-konform, CCPA-konform und Cyber Essentials-zertifiziert. Jedes Login-Ereignis wird mit einem Zeitstempel, einer IP-Adresse und einem Einwilligungsdatensatz protokolliert. Dieser Audit-Trail schützt Sie, falls eine Regulierungsbehörde Fragen stellt. [medium pause] Abschnitt fünf: Bandbreitenmanagement. Bei Starlink ist die Bandbreite Ihre am stärksten begrenzte Ressource. Ein einzelner Passagier, der 4K-Videos streamt, kann kontinuierlich 25 Megabit pro Sekunde verbrauchen. Auf einem Schiff mit 50 Passagieren und einer 220-Megabit-Verbindung entspricht das einer Person, die 11 % der Gesamtkapazität beansprucht. Sie müssen dies auf der Ebene des Captive Portals und des Routers angehen. Richten Sie Bandbreitenbegrenzungen pro Gerät ein – zum Beispiel 5 Megabit Downstream und 2 Megabit Upstream pro Gastgerät. Implementieren Sie Fair-Use-Richtlinien, die nach einem täglichen Datenkontingent drosseln. Nutzen Sie Traffic Shaping, um das Surfen im Web und Messaging gegenüber Videostreaming zu priorisieren. Und ziehen Sie einen gestaffelten Zugang in Betracht: einen kostenlosen Tarif für die Basis-Konnektivität, einen kostenpflichtigen Premium-Tarif für Streaming. Dadurch wird Ihr WiFi von einem Kostenfaktor zu einer Einnahmequelle. [medium pause] Lassen Sie mich Ihnen nun zwei reale Szenarien vorstellen. Szenario eins: Ein Kreuzfahrtschiff mit 120 Kabinen. Der Betreiber nutzt Starlink Maritime mit 220 Megabit. Er installiert Cisco Meraki Access Points auf dem gesamten Schiff mit drei VLANs – Crew, Passagiere und Schiffssysteme. Das Captive Portal von Purple übernimmt die Passagier-Authentifizierung per E-Mail oder über eine mit dem PMS integrierte Abfrage der Kabinennummer. Jeder Passagier erhält ein tägliches Kontingent von 2 Gigabyte. Premium-Passagiere erhalten 10 Gigabyte. Das Portal erfasst First-Party-E-Mail-Daten für das Marketing nach der Reise. Ergebnis: Die WiFi-Einnahmen decken die Starlink-Abonnementkosten, und der Betreiber verfügt über eine wachsende Direktmarketing-Liste. Szenario zwei: Ein abgelegenes Highland-Hotel ohne Glasfaser. Sie nutzen Starlink Business mit durchschnittlich 150 Megabit. HPE Aruba Access Points decken das Hauptgebäude und drei Nebengebäude ab. Gäste authentifizieren sich per E-Mail über das Portal von Purple. Das Hotel nutzt die Analysen von Purple, um die Hauptnutzungszeiten zu verstehen, und passt die Bandbreitenrichtlinien entsprechend an. Sie haben die Beschwerden über das Gäste-WiFi im Vergleich zu ihrem vorherigen 4G-Bonding-Setup laut eigenen Betriebsdaten um 60 % reduziert. [medium pause] Häufige Fehler. Lassen Sie mich die fünf nennen, die ich am häufigsten sehe. Erstens: Vergessen, den Bypass-Modus nach einem Reset der Antenne wieder zu aktivieren. Dokumentieren Sie dies in Ihrem Betriebshandbuch und richten Sie einen Überwachungsalarm an der WAN-Schnittstelle Ihres Routers ein. Zweitens: Das Inter-VLAN-Routing nicht blockieren. Bei jeder von mir überprüften Bereitstellung, bei der es zu einem Sicherheitsvorfall kam, war dies falsch konfiguriert. Überprüfen Sie es zweimal. Drittens: Verwendung einer HTTP-Weiterleitung für das Captive Portal in einem Netzwerk, in dem Gäste HTTPS-First-Browser verwenden. Moderne Browser verwenden standardmäßig HTTPS. Ihr Router muss das Abfangen von HTTPS korrekt handhaben, da Gäste andernfalls Zertifikatsfehler sehen, bevor sie das Portal erreichen. Das Portal von Purple handhabt dies, aber Ihre Router-Konfiguration muss korrekt sein. Viertens: Nicht separat auf iOS und Android testen. Apples Captive Network Assistant und der Netzwerk-Probe von Android verhalten sich unterschiedlich. Testen Sie beide vor dem Live-Gang. Fünftens: Latenz ignorieren. Die LEO-Konstellation von Starlink bietet eine Latenz von 20 bis 40 Millisekunden – weitaus besser als herkömmliche geostationäre Satelliten. Bei Übergaben zwischen Satelliten kann es jedoch zu kurzen Spitzen kommen. Die Timeout-Einstellungen Ihres Captive Portals müssen dies berücksichtigen. Stellen Sie die Session-Keepalive-Intervalle auf maximal 60 Sekunden ein. [medium pause] Schnelle Fragen und Antworten. Benötige ich eine statische IP für ein Captive Portal auf Starlink? Nein, wenn Ihr Portal eine Cloud-basierte Architektur mit Reverse-Tunneling nutzt. Ja, wenn Sie ein lokales RADIUS-System betreiben. Kann ich mehrere SSIDs auf Starlink betreiben? Ja – Ihre Enterprise Access Points übernehmen die Erstellung der SSIDs. Starlink im Bypass-Modus stellt lediglich den Uplink bereit. Sie können so viele SSIDs betreiben, wie Ihre Access Points unterstützen. Funktioniert Purple standardmäßig mit Starlink? Ja. Sie konfigurieren den Bypass-Modus auf der Starlink-Antenne, verbinden Ihre unterstützten Access Points und verweisen mit der RADIUS- oder API-Integration auf die Cloud von Purple. Das Portal ist innerhalb einer Stunde live. Was passiert, wenn die Starlink-Verbindung abbricht? Das Portal von Purple speichert aktive Sitzungen für einen konfigurierbaren Zeitraum – in der Regel 24 Stunden – lokal auf dem Router zwischen. Bereits authentifizierte Gäste bleiben online. Neue Authentifizierungen werden in die Warteschlange gestellt, bis die Verbindung wiederhergestellt ist. [medium pause] Zusammenfassend lässt sich sagen: Starlink liefert die Leitung. Ihr Enterprise-Router im Bypass-Modus gibt Ihnen die Kontrolle über die Routing-Ebene. Die VLAN-Segmentierung isoliert Ihren Gast-, Personal- und IoT-Datenverkehr. Ein Cloud-Captive-Portal – in diesem Fall das von Purple – übernimmt die Authentifizierung, die GDPR-Einwilligung, die Bandbreitenrichtlinien und die Erfassung von First-Party-Daten. Die CGNAT-Einschränkung wird durch eine Reverse-Tunnel-Architektur gelöst, nicht durch eine statische IP. Und das Bandbreitenmanagement auf Portalebene sorgt dafür, dass Ihre Starlink-Verbindung für alle nutzbar bleibt. Wenn Sie dies für Ihren Standort evaluieren, besteht der nächste Schritt darin, zu prüfen, welche Access-Point-Hardware Sie verwenden – Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet – und die Integrationsdokumentation von Purple für diese Plattform zu bestätigen. Den vollständigen technischen Leitfaden finden Sie unter purple.ai, und das Purple-Team kann Sie durch eine Proof-of-Concept-Konfiguration für Ihren spezifischen Standort führen. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

Starlink liefert eine Konnektivität von 220 Mbps an Standorte, die von Glasfaser nicht erreicht werden können, und verändert damit die Netzwerklandschaft für abgelegene und maritime Standorte grundlegend. Die reine Konnektivität reicht jedoch für öffentlich zugängliche Umgebungen nicht aus. Wenn Sie Starlink für Gäste, Passagiere oder die Crew bereitstellen, müssen Sie Authentifizierung, Zugriffskontrolle, GDPR-konforme Einwilligung und Bandbreitenmanagement implementieren. Der native Starlink-Router bietet keine dieser Funktionen.

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink-Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die Carrier Grade NAT (CGNAT)-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Bandbreitenbeschränkungen von Satelliten verwalten und die Einhaltung gesetzlicher Vorschriften sicherstellen.

Durch die Implementierung dieser Architektur verwandeln Standortbetreiber eine ungesteuerte Internetleitung in ein sicheres, segmentiertes Netzwerk, das First-Party-Daten erfasst und die Kerninfrastruktur des Unternehmens schützt.

Technical Deep-Dive

Die CGNAT-Einschränkung

Die größte technische Hürde bei der Bereitstellung eines Captive Portals auf Starlink ist Carrier Grade NAT (CGNAT). Die Standard-Starlink-Antenne wird mit einem proprietären Router verbunden, der DHCP und NAT übernimmt. Standardmäßig liegt die Ihrem Gerät zugewiesene WAN-IP-Adresse im Bereich 100.64.0.0/10. Da es sich hierbei nicht um eine öffentliche IP-Adresse handelt, kann Ihr Router keine eingehenden Verbindungen aus dem Internet empfangen.

Standard-Captive-Portal-Architekturen gehen oft davon aus, dass das Cloud-Portal auf Ihr Netzwerk zugreifen kann, um Benutzer zu authentifizieren oder Zugriffskontrolllisten zu aktualisieren. Mit CGNAT schlagen eingehende Verbindungen fehl.

Um dies zu beheben, müssen Sie die Starlink-Antenne im Bypass-Modus (oft auch Bridge-Modus genannt) konfigurieren. Im Bypass-Modus sind die Funktionen des Starlink-Routers deaktiviert, und die Antenne leitet die CGNAT-Adresse direkt an den WAN-Port Ihres Enterprise-Routers weiter. Ihr Enterprise-Router übernimmt dann die volle Kontrolle über die Routing-Ebene.

architecture_overview.png

Reverse-Tunnel-Architektur

Auch wenn der Enterprise-Router den Datenverkehr abwickelt, bleibt die eingehende CGNAT-Einschränkung bestehen. Die Lösung ist eine Reverse-Tunnel-Architektur. Ihr Router baut eine ausgehende Verbindung zum Cloud-Portal auf und hält diese dauerhaft aufrecht. Der gesamte Authentifizierungsdatenverkehr fließt durch diesen aufgebauten Tunnel. Die Cloud-Infrastruktur muss niemals eine eingehende Verbindung initiieren.

Die Cloud-Overlay-Architektur von Purple handhabt dies nativ. Sie müssen keine manuellen VPN-Tunnel konfigurieren. Wenn Ihre Bereitstellung eine statische IP für ältere lokale RADIUS-Server oder ein striktes IP-Allowlisting erfordert, bieten die Tarife Starlink Business und Maritime eine statische IP als kostenpflichtiges Add-on an.

Bandbreitenbeschränkungen und Traffic Shaping

Die Satellitenbandbreite ist eine gemeinsam genutzte, begrenzte Ressource. Ein einzelner Benutzer, der 4K-Videos streamt, kann kontinuierlich 25 Mbps verbrauchen. Auf einem Schiff mit 50 Passagieren, die sich eine Starlink-Verbindung mit 220 Mbps teilen, kann ein einziger Benutzer 11 % der Gesamtkapazität beanspruchen.

Sie müssen dies auf der Ebene des Captive Portals und des Routers durch aggressives Traffic Shaping angehen:

  • Begrenzungen pro Gerät: Beschränken Sie einzelne Gastgeräte auf 5 Mbps Download und 2 Mbps Upload.
  • Fair-Use-Richtlinien: Implementieren Sie tägliche Datenkontingente (z. B. 2 GB pro 24 Stunden).
  • Anwendungskontrolle: Priorisieren Sie das Surfen im Web und Messaging-Protokolle gegenüber Videostreaming und Peer-to-Peer-Dateifreigabe.
  • Gestaffelter Zugang: Bieten Sie einen kostenlosen Tarif für die Basis-Konnektivität und einen kostenpflichtigen Premium-Tarif für Streaming an, um die WiFi-Infrastruktur von einer Kostenstelle in eine Einnahmequelle zu verwandeln.

comparison_chart.png

Implementation Guide

Befolgen Sie diese Schritte, um ein sicheres Captive Portal über Starlink unter Verwendung von Enterprise-Hardware bereitzustellen.

Schritt 1: Bypass-Modus aktivieren

  1. Installieren Sie die Starlink-Hardware und überprüfen Sie die Konnektivität über den nativen Router.
  2. Öffnen Sie die mobile Starlink-App und navigieren Sie zu Einstellungen.
  3. Wählen Sie Bypass Starlink WiFi router und bestätigen Sie.
  4. Verbinden Sie den Starlink-Ethernet-Adapter mit dem WAN-Port Ihres Enterprise-Routers (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet).

Hinweis: Wenn die Starlink-Antenne auf die Werkseinstellungen zurückgesetzt wird, wird der Bypass-Modus automatisch deaktiviert. Dokumentieren Sie dies in Ihrem Betriebshandbuch vor Ort und konfigurieren Sie einen Überwachungsalarm an der WAN-Schnittstelle Ihres Routers.

Schritt 2: VLAN-Segmentierung konfigurieren

Sie müssen den Gast-Datenverkehr von Ihren Kernsystemen isolieren. Konfigurieren Sie mindestens drei VLANs auf Ihrem Core-Switch und Ihren Access Points:

  • VLAN 10 (Personal): Überträgt POS-Systeme, Back-Office-Anwendungen und den Verwaltungsdatenverkehr.
  • VLAN 20 (Gast): Das reine Internetsegment, das zum Captive Portal weiterleitet.
  • VLAN 30 (IoT): Isoliertes Netzwerk für Kameras, intelligente Thermostate und Gebäudemanagementsysteme.

Konfigurieren Sie Firewall-Regeln, um jegliches Inter-VLAN-Routing zu blockieren. Ein Gastgerät auf VLAN 20 darf niemals in der Lage sein, ein POS-Terminal auf VLAN 10 anzupingen. Diese Segmentierung ist eine strikte Anforderung für die PCI-DSS-Compliance.

Schritt 3: Cloud-Captive-Portal bereitstellen

  1. Konfigurieren Sie Ihre Access Points so, dass sie die Gäste-SSID auf VLAN 20 ausstrahlen.
  2. Stellen Sie die Authentifizierungsmethode auf externes RADIUS ein oder nutzen Sie die API-Integration des Herstellers.
  3. Verweisen Sie mit den Authentifizierungsservern auf die Cloud-Infrastruktur von Purple.
  4. Konfigurieren Sie den Walled Garden (Allowlist), um den Datenverkehr zu den Domains von Purple zuzulassen, bevor die Authentifizierung abgeschlossen ist.
  5. Gestalten Sie die Splash-Page im Purple-Portal und stellen Sie sicher, das Branding auf Ihren Standort abgestimmt ist und die Nutzungsbedingungen klar sichtbar sind.

Schritt 4: Testen des User Flows

Testen Sie den Authentifizierungs-Flow sowohl auf iOS- als auch auf Android-Geräten. Apples Captive Network Assistant (CNA) und der Netzwerk-Probe von Android verhalten sich unterschiedlich. Stellen Sie sicher, dass die Splash-Page innerhalb von 10 Sekunden geladen wird und das Gerät sofort nach der Authentifizierung Internetzugang erhält.

Best Practices

  • HTTPS Intercept: Stellen Sie sicher, dass Ihr Router das HTTPS-Abfangen korrekt verarbeitet. Moderne Geräte nutzen standardmäßig HTTPS. Wenn der Router HTTPS-Anfragen nicht sauber umleiten kann, treten bei Gästen Zertifikatsfehler auf, bevor sie das Portal erreichen.
  • Session Keepalive: Die LEO-Konstellation (Low Earth Orbit) von Starlink bietet eine Latenzzeit von 20 bis 40 Millisekunden, bei Satellitenübergaben kann es jedoch zu kurzen Spitzen kommen. Stellen Sie die Keepalive-Intervalle Ihrer Captive Portal-Sitzung auf 60 Sekunden oder weniger ein, um vorzeitige Verbindungsabbrüche zu verhindern.
  • Offline-Caching: Konfigurieren Sie Ihren Router so, dass er aktive Sitzungen lokal zwischenspeichert. Wenn die Starlink-Verbindung vorübergehend unterbrochen wird, bleiben bereits authentifizierte Gäste online, sobald die Verbindung wiederhergestellt ist, anstatt sich erneut anmelden zu müssen.

Fehlerbehebung & Risikominderung

Fehlerbild Ursache Behebung
Captive Portal lädt nicht Fehlkonfiguration des Walled Garden Überprüfen Sie, ob alle erforderlichen Purple-Domains und CDN-Endpunkte zur Pre-Authentication-Allowlist auf dem Router hinzugefügt wurden.
Double-NAT-Fehler Bypass-Modus deaktiviert Überprüfen Sie in der Starlink-App, ob der Bypass-Modus aktiv ist. Ein Stromausfall oder ein manueller Reset hat die Antenne möglicherweise auf die Standardeinstellungen zurückgesetzt.
Langsame Geschwindigkeiten für Gäste Unbegrenzte Bandbreite Setzen Sie Bandbreitenlimits pro Gerät durch (z. B. 5 Mbit/s) und blockieren Sie Anwendungen mit hohem Bandbreitenbedarf wie BitTorrent an der Firewall.
Sicherheitsaudit fehlgeschlagen Inter-VLAN-Routing aktiviert Überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass der Datenverkehr aus dem Gäste-VLAN nicht an das Mitarbeiter- oder Management-VLAN weitergeleitet werden kann.

ROI & geschäftlicher Nutzen

Die Bereitstellung eines verwalteten Captive Portals auf Starlink verwandelt eine reine Internetverbindung in ein messbares Geschäftsgut.

Für ein Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbit/s nutzt, bietet der reine Internetzugang keinen kommerziellen Nutzen. Durch den Einsatz von Cisco Meraki Access Points und dem Captive Portal von Purple kann der Betreiber ein tägliches Datenvolumen von 2 GB für Standard-Passagiere festlegen und gleichzeitig ein Premium-Paket mit 10 GB verkaufen. Die daraus resultierenden WiFi-Einnahmen decken die monatlichen Starlink-Abonnementkosten von über 250 USD. Darüber hinaus erfasst das Portal vollständig konforme First-Party-E-Mail-Daten, wodurch die Direktmarketing-Liste des Betreibers für zukünftige Reisen erweitert wird.

In einer abgelegenen Hotelumgebung reduziert die Bereitstellung eines Portals mit strengen Bandbreitenrichtlinien die Beschwerden von Gästen über langsames WiFi um bis zu 60 %, da verhindert wird, dass Power-User die Satellitenverbindung monopolisieren.

Schlüsseldefinitionen

Bypass-Modus

Eine Konfigurationseinstellung, die die nativen DHCP- und NAT-Funktionen des Starlink-Routers deaktiviert und die WAN-IP direkt an einen Enterprise-Router eines Drittanbieters weiterleitet.

Erforderlich bei der Integration von Enterprise-Netzwerkgeräten mit einer Starlink-Antenne, um Doppel-NAT und Routing-Konflikte zu vermeiden.

CGNAT (Carrier Grade NAT)

Eine von ISPs verwendete Methode zur gemeinsamen Nutzung einer einzigen öffentlichen IP-Adresse durch mehrere Kunden. Der Router des Kunden erhält eine private IP-Adresse (normalerweise 100.64.0.0/10).

Starlink verwendet standardmäßig CGNAT, was eingehende Verbindungen aus dem Internet verhindert und Reverse-Tunnel-Architekturen für das Cloud-Management erfordert.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Wird verwendet, um den WiFi-Datenverkehr von Gästen vom Personal- und IoT-Netzwerk zu isolieren, um Sicherheit und Compliance zu gewährleisten.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Netzwerks anzeigen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Wird verwendet, um Nutzungsbedingungen durchzusetzen, Marketingdaten zu erfassen und Benutzer in Gäste-WiFi-Netzwerken zu authentifizieren.

Walled Garden

Eine begrenzte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig authentifiziert hat.

Erforderlich, damit Gastgeräte das Cloud-Captive-Portal und die Authentifizierungsserver erreichen können, bevor ihnen der vollständige Internetzugang gewährt wird.

RADIUS

Ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Das zugrunde liegende Protokoll, das von Enterprise Access Points verwendet wird, um mit dem Cloud-Captive-Portal zu kommunizieren, um Benutzeranmeldedaten zu überprüfen.

Traffic Shaping

Die Steuerung und Priorisierung des Netzwerkdatenverkehrs, um die Auswirkungen von Intensivnutzern oder latenzempfindlichen Anwendungen zu reduzieren.

Auf Starlink-Netzwerken unerlässlich, um das Surfen im Web gegenüber Aktivitäten mit hoher Bandbreite wie Videostreaming zu priorisieren.

First-Party-Daten

Informationen, die ein Unternehmen direkt von seinen Kunden sammelt und besitzt.

Werden über den Login-Prozess des Captive Portals erfasst (z. B. E-Mail-Adressen) und für Direktmarketing- und Kundenbindungskampagnen verwendet.

Ausgearbeitete Beispiele

Ein Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbps nutzt, muss Passagier-WiFi bereitstellen, ohne den Schiffsbetrieb zu beeinträchtigen. Es wird ein Mechanismus benötigt, um die Verbindung zu monetarisieren und Marketingdaten zu erfassen.

Der Betreiber installiert Cisco Meraki Access Points auf dem gesamten Schiff mit drei strikten VLANs: Crew, Passagiere und Schiffssysteme. Das Captive Portal von Purple übernimmt die Passagier-Authentifizierung per E-Mail oder über eine mit dem PMS integrierte Abfrage der Kabinennummer. Jeder Passagier erhält ein tägliches Guthaben von 2 GB. Passagiere der Premium-Klasse können ein Kontingent von 10 GB erwerben. Das Portal erfasst First-Party-E-Mail-Daten für das Marketing nach der Reise.

Kommentar des Prüfers: Dieser Ansatz löst das Bandbreitenproblem durch strikte tägliche Limits und generiert gleichzeitig direkte Einnahmen. Die VLAN-Segmentierung stellt sicher, dass der Passagierdatenverkehr die kritischen Schiffssysteme nicht gefährdet. Die PMS-Integration sorgt für ein reibungsloses Login-Erlebnis.

Ein abgelegenes Hotel in den Highlands ohne Glasfaserinfrastruktur nutzt Starlink Business mit 150 Mbps. Gäste beschweren sich häufig über langsame Geschwindigkeiten am Abend, und das Hotel hat keinen Einblick darüber, wer das Netzwerk nutzt.

Das Hotel installiert HPE Aruba Access Points im Hauptgebäude und in den Nebengebäuden. Es konfiguriert die Starlink-Antenne im Bypass-Modus und verbindet sie mit einem Aruba-Gateway. Gäste authentifizieren sich per E-Mail über das Portal von Purple. Das Hotel erzwingt eine strikte Bandbreitenbegrenzung von 5 Mbps pro Gerät und nutzt die Analysen von Purple, um die Hauptnutzungszeiten zu überwachen.

Kommentar des Prüfers: Durch die Drosselung pro Gerät verhindert das Hotel, dass einzelne Gäste die 150-Mbps-Verbindung während der Hauptverkehrszeiten am Abend monopolisieren. Die E-Mail-Authentifizierung erfasst First-Party-Daten für zukünftige Direktbuchungskampagnen und verringert die Abhängigkeit von OTAs.

Übungsfragen

Q1. Ein abgelegenes Minencamp hat Starlink Business bereitgestellt. Sie haben eine Cisco Meraki MX-Firewall an den Starlink-Router angeschlossen. Gäste können sich mit dem WiFi verbinden, aber bei der Captive Portal-Seite tritt ein Timeout auf und sie wird nicht geladen. Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie, wie die Starlink-Hardware standardmäßig das Routing handhabt und was die Meraki-Firewall benötigt, um den Datenverkehr effektiv zu verwalten.

Musterlösung anzeigen

Die Starlink-Antenne wurde nicht in den Bypass-Modus versetzt. Infolgedessen leidet das Netzwerk unter Doppel-NAT (sowohl der Starlink-Router als auch die Meraki-Firewall versuchen, eine Netzwerkadressübersetzung durchzuführen). Der Administrator muss die Starlink-App verwenden, um den Bypass-Modus zu aktivieren, damit die Meraki-Firewall die CGNAT-IP direkt empfangen und das Routing sowie das Abfangen des Captive Portals verwalten kann.

Q2. Sie stellen ein Captive Portal für ein Hotel über Starlink bereit. Sie haben den Bypass-Modus und die VLAN-Segmentierung konfiguriert. Beim Testen stellen Sie fest, dass Apple-Geräte den Benutzer sofort zur Anmeldung auffordern, einige Android-Geräte jedoch einen Zertifikatsfehler anzeigen, wenn der Benutzer versucht, vor der Authentifizierung eine sichere Website aufzurufen. Wie lösen Sie das?

Hinweis: Denken Sie darüber nach, wie moderne Browser erste Verbindungsanfragen handhaben und was der Router tun muss, um diese sauber abzufangen.

Musterlösung anzeigen

Der Enterprise-Router ist nicht so konfiguriert, dass er das Abfangen von HTTPS für die Weiterleitung zum Captive Portal korrekt handhabt. Moderne Browser verwenden standardmäßig HTTPS. Wenn der Benutzer versucht, vor der Authentifizierung eine HTTPS-Website aufzurufen, fängt der Router den Datenverkehr ab und präsentiert sein eigenes Zertifikat, das der Browser als ungültig ablehnt. Sie müssen sicherstellen, dass die Captive Portal-Einstellungen des Routers so konfiguriert sind, dass sie ein gültiges SSL-Zertifikat für die Weiterleitung verwenden, oder sich auf die Netzwerk-Probes auf Betriebssystemebene (wie Apples CNA) verlassen, die HTTP-Endpunkte verwenden, um das Portal automatisch auszulösen.

Q3. Ein Schifffahrtsunternehmen beklagt, dass seine Starlink Maritime-Verbindung (220 Mbps) jeden Abend unbrauchbar wird. Derzeit wird ein offenes, passwortfreies Gästenetzwerk bereitgestellt. Welche drei spezifischen Konfigurationen sollten Sie auf dem Enterprise-Router und dem Captive Portal implementieren, um dies zu beheben?

Hinweis: Konzentrieren Sie sich darauf zu kontrollieren, wie viele Daten einzelne Benutzer verbrauchen können, und kritische Datenverkehrstypen zu priorisieren.

Musterlösung anzeigen
  1. Implementieren Sie ein Captive Portal, das eine Authentifizierung erfordert, um einzelne Benutzer zu verfolgen und zu verwalten. 2. Erzwingen Sie Bandbreitenbegrenzungen pro Gerät (z. B. 5 Mbps Downstream / 2 Mbps Upstream), um zu verhindern, dass ein einzelner Benutzer die Verbindung monopolisiert. 3. Wenden Sie Traffic-Shaping-Regeln auf der Firewall an, um das Surfen im Web und Messaging-Protokolle zu priorisieren, während Anwendungen mit hoher Bandbreite wie Videostreaming und P2P-Dateifreigabe gedrosselt oder blockiert werden.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Dieser technische Leitfaden beschreibt detailliert die Architektur von Hotel-WiFi-Netzwerken der Enterprise-Klasse, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für eine GDPR-konforme Datenerfassung.

Leitfaden lesen →

Captive Portal Best Practices: Designing for High Conversion and Compliance

Dieser technische Leitfaden bietet IT-Managern, Netzwerkarchitekten und Betriebsleitern von Veranstaltungsorten eine vollständige Blaupause für die Bereitstellung von Captive Portals, die Netzwerksicherheit mit hoher User-Conversion in Einklang bringen. Er deckt die gesamte Architektur ab – von der VLAN-Segmentierung und RADIUS-Authentifizierung bis hin zu GDPR-konformem Consent-Design und der Auswahl von Authentifizierungsmethoden. Basierend auf der operativen Erfahrung von Purple in über 80.000 Standorten und 440 Millionen Logins im Jahr 2024 basiert jede Empfehlung auf realen Bereitstellungsdaten.

Leitfaden lesen →

How to Optimize Captive Portals for Maximum Network Security and User Conversion

Dieser Leitfaden bietet eine vollständige technische Blaupause für die Optimierung von Captive Portals in Unternehmensstandorten und deckt die Architektur der Netzwerksegmentierung, die Auswahl der Authentifizierungsmethode, das GDPR-konforme Einwilligungsdesign und die Conversion-Optimierung ab. Er richtet sich an IT-Manager, Netzwerkarchitekten und CTOs in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors, die Netzwerksicherheit mit der Erfassung von First-Party-Daten in Einklang bringen müssen. Purple betreibt eine Captive Portal-Infrastruktur an über 80.000 Standorten mit 440 Millionen Logins im Jahr 2024, und die hier vorgestellten Frameworks spiegeln diese operative Erfahrung wider.

Leitfaden lesen →