Zum Hauptinhalt springen

So richten Sie ein Captive Portal auf Starlink ein: Ein Leitfaden für abgelegene und maritime Standorte

Dieser Leitfaden beschreibt detailliert, wie Sie die native Starlink - Hardware umgehen und ein Cloud-gesteuertes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die CGNAT-Einschränkung überwinden, eine VLAN-Segmentierung erzwingen, Satelliten-Bandbreitenbeschränkungen verwalten und die Einhaltung gesetzlicher Vorschriften gewährleisten.

📖 5 Min. Lesezeit📝 1,227 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und lockeren Ton - wie ein Senior Consultant bei einer Kundenpräsentation. Ruhiges Tempo, klare Artikulation, herzlich, aber professionell. Keine Füllwörter. Gelegentliche kurze Pausen zur Betonung: Willkommen zum technischen Briefing von Purple. Ich werde Sie durch alles führen, was Sie wissen müssen, um ein Captive Portal auf Starlink einzurichten - insbesondere für abgelegene Veranstaltungsorte, Schifffahrtsbetreiber und alle, die ein Gäste WiFi betreiben, bei dem Glasfaser einfach keine Option ist. [mittlere Pause] Beginnen wir mit dem Problem. Starlink hat das Konnektivitätsbild für Veranstaltungsorte, die zuvor auf langsame, teure Satellitenverbindungen oder lückenhaftes 4G angewiesen waren, grundlegend verändert. Ein Kreuzfahrtschiff, ein abgelegenes Berghotel, eine Pausenunterkunft auf einer Baustelle, ein Festivalgelände auf einer Wiese - all diese können jetzt 100 bis 220 Megabit pro Sekunde über eine Antenne empfangen, die so groß ist wie eine große Pizza. Das ist bemerkenswert. Aber hier ist der Punkt: Reine Konnektivität ist nur die halbe Miete. In dem Moment, in dem Sie diese Verbindung Gästen, Passagieren oder der Crew zur Verfügung stellen, benötigen Sie Authentifizierung, Zugriffskontrolle, DSGVO-konforme Einwilligung und Bandbreitenmanagement. Starlink bietet Ihnen nichts davon von Haus aus. Hier kommt ein Captive Portal ins Spiel. Und genau das werden wir heute einrichten. [mittlere Pause] Abschnitt eins: Die Netzwerkbeschränkungen von Starlink verstehen. Bevor Sie einen Router anfassen, müssen Sie verstehen, was Starlink Ihnen tatsächlich an der WAN-Schnittstelle bietet. Die Standard-Starlink-Antenne verbindet sich mit einem proprietären Router, der DHCP und NAT übernimmt. Standardmäßig befinden Sie sich hinter Carrier-Grade NAT - was Ingenieure als CGNAT bezeichnen. Das bedeutet, dass Ihre WAN-IP-Adresse im Bereich von 100.64 bis 100.127 liegt. Es ist keine öffentliche IP. Sie können keine eingehenden Verbindungen aus dem Internet empfangen. Und das ist für die Architektur eines Captive Portals von enormer Bedeutung. Die Lösung ist der Bypass-Modus - manchmal auch als Bridge-Modus bezeichnet. Sie aktivieren diesen in der Starlink-App unter Einstellungen und aktivieren dann die Option "Starlink-WiFi-Router umgehen". Nach der Aktivierung leitet die Starlink-Antenne die CGNAT-Adresse direkt an den WAN-Port Ihres Enterprise-Routers weiter. Der Starlink-Router übernimmt kein DHCP und NAT mehr. Ihr Router übernimmt die Kontrolle. Sie befinden sich zwar immer noch hinter CGNAT, haben aber jetzt die volle Kontrolle über die Routing-Ebene. Ein wichtiger Punkt: Wenn die Starlink-Antenne aus irgendeinem Grund auf die Werkseinstellungen zurückgesetzt wird, wird der Bypass-Modus deaktiviert. Sie müssen ihn dann erneut aktivieren. Nehmen Sie das in Ihr Betriebshandbuch für den Standort auf. [mittlere Pause] Starlink bietet drei Tarifstufen an, die für Betreiber von Veranstaltungsorten relevant sind. Standard bietet Ihnen bis zu 100 Megabit Download, Best-Effort-Priorisierung und keine Option für eine statische IP. Business bietet Ihnen bis zu 220 Megabit, vorrangige Datenkontingente und ein Add-on für eine statische IP. Maritime bietet Ihnen dieselben Geschwindigkeiten mit globaler Portabilität - unverzichtbar, wenn sich das Schiff zwischen Ozeanregionen bewegt. Für jeden Veranstaltungsort mit mehreren Nutzern würde ich mindestens Business oder Maritime empfehlen. Best-Effort-Daten bei Standard bedeuten, dass Ihre Gäste herabgestuft werden, sobald die Satellitenzelle überlastet ist. [mittlere Pause] Abschnitt zwei: Der Architektur-Stack. Hier ist der vierstufige Stack, den Sie aufbauen. Ebene eins ist der Starlink-Uplink im Bypass-Modus. Ebene zwei ist Ihr Enterprise-Router oder Ihre Firewall - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - jeder dieser Anbieter funktioniert. Ebene drei ist die VLAN-Segmentierung auf Switch- oder Access-Point-Ebene. Ebene vier ist das Cloud-basierte Captive Portal, das die Authentifizierung, die Zustimmung und die Analysen übernimmt. Lassen Sie mich kurz auf die VLAN-Segmentierung eingehen, da sie unverzichtbar ist. Sie benötigen mindestens drei VLANs. VLAN 10 für Mitarbeiter - dieses überträgt Ihre POS-Systeme, Backoffice-Anwendungen und den Management-Traffic. VLAN 20 für Gäste - dies ist das reine Internet-Segment, das auf das Captive Portal geleitet wird. VLAN 30 für IoT - Kameras, intelligente Thermostate, Gebäudemanagementsysteme. Diese drei Netzwerke dürfen nicht miteinander kommunizieren können. Das Inter-VLAN-Routing sollte an der Firewall blockiert werden. Ein Gast im VLAN 20 darf niemals Zugriff auf Ihr POS-Terminal im VLAN 10 erhalten. Das ist nicht nur Best Practice - das ist eine PCI-DSS-Anforderung, wenn Sie irgendwo auf derselben physischen Infrastruktur Kartenzahlungen verarbeiten. [medium pause] Das Captive Portal selbst befindet sich in der Cloud. Wenn sich ein Gast mit Ihrer Gäste-SSID verbindet und einen Browser öffnet, fängt der Router die HTTP-Anfrage ab und leitet sie auf die Login-Seite des Portals um. Der Gast authentifiziert sich - via E-Mail, Social Login oder mit einem Gutschein-Code - akzeptiert Ihre Nutzungsbedingungen, und das Portal signalisiert dem Router, dieser MAC-Adresse Internetzugang zu gewähren. Der gesamte Ablauf sollte auf einem Mobilgerät in weniger als 10 Sekunden abgeschlossen sein. Mit Purple lässt sich dieses Cloud-Portal direkt in Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Sie konfigurieren die RADIUS- oder API-Integration einmal, und Purple übernimmt den Authentifizierungs-Handshake. Es ist kein On-Premises-Authentifizierungsserver erforderlich. Das ist entscheidend für Remote-Standorte, an denen Sie keinen lokalen RADIUS-Server betreiben können. [medium pause] Abschnitt drei: Das CGNAT-Problem und wie man es löst. Hier ist die Herausforderung, die die meisten IT-Teams kalt erwischt. Standard-Architekturen für Captive Portals setzen voraus, dass das Cloud-Portal auf Ihr Netzwerk zugreifen kann. Mit CGNAT ist das unmöglich. Eingehende Verbindungen werden blockiert. Die Lösung ist ein Reverse-Tunnel. Ihr Router stellt eine ausgehende Verbindung zum Cloud-Portal her und hält diese dauerhaft offen. Der gesamte Authentifizierungsdatenverkehr fließt durch diesen Tunnel. Die Cloud muss niemals eine eingehende Verbindung initiieren. Die Cloud-Overlay-Architektur von Purple bewältigt dies nativ - Sie müssen WireGuard oder OpenVPN nicht manuell konfigurieren, obwohl beide gültige Alternativen sind, wenn Sie Ihre eigene Infrastruktur betreiben. Wenn Sie doch eine statische IP benötigen - zum Beispiel, wenn Sie einen RADIUS-Server vor Ort betreiben oder ein konsistentes IP-Allowlisting benötigen - bieten Starlink Business und Maritime eine statische IP als Add-on an. Zum Zeitpunkt der Aufnahme ist dies in den meisten Regionen verfügbar. Prüfen Sie die aktuellen Tarifseiten von Starlink für Ihr spezifisches Gebiet. [medium pause] Abschnitt vier: GDPR und Daten-Compliance. Hier werden abgelegene Standorte und Seeschiffe oft überrascht. Die Tatsache, dass sich Ihr Standort auf einem Schiff in internationalen Gewässern oder an einem abgelegenen Ort befindet, entbindet Sie nicht von der GDPR, wenn Sie Daten von EU-Bürgern erfassen. Und wenn Sie nach dem Brexit in britischen Gewässern operieren, gilt die UK GDPR. Ihr Captive Portal muss ein spezifisches, nicht angekreuztes Zustimmungs-Kontrollkästchen für Marketing-Kommunikation aufweisen. Es muss klar angegeben werden, welche Daten Sie erfassen, warum und wie lange Sie diese speichern. Die Nutzungsbedingungen müssen zugänglich sein, bevor sich der Gast authentifiziert. Und Sie müssen auf Anfrage nachweisen können, dass eine bestimmte Person an einem bestimmten Datum und zu einer bestimmten Uhrzeit ihre Zustimmung gegeben hat. Purple ist ISO 27001 zertifiziert, GDPR-konform, CCPA-konform und Cyber Essentials zertifiziert. Jeder Anmeldevorgang wird mit einem Zeitstempel, einer IP-Adresse und einem Zustimmungsdatensatz protokolliert. Dieser Audit-Trail schützt Sie, falls eine Aufsichtsbehörde Fragen stellt. [medium pause] Abschnitt fünf: Bandbreitenmanagement. Bei Starlink ist die Bandbreite Ihre knappste Ressource. Ein einziger Passagier, der 4K-Videos streamt, kann kontinuierlich 25 Megabit pro Sekunde verbrauchen. Auf einem Schiff mit 50 Passagieren und einer Verbindung von 220 Megabit beansprucht diese eine Person bereits 11 % der Gesamtkapazität. Dies lösen Sie auf der Ebene des Captive Portals und des Routers. Legen Sie Bandbreitenbegrenzungen pro Gerät fest - zum Beispiel 5 Megabit Download und 2 Megabit Upload pro Gastgerät. Implementieren Sie Fair-Use-Richtlinien, die nach einem täglichen Datenvolumen drosseln. Nutzen Sie Traffic-Shaping, um Web-Browsing und Messaging gegenüber Video-Streaming zu priorisieren. Und ziehen Sie einen gestuften Zugang in Betracht: ein kostenloses Paket für einfache Konnektivität, ein kostenpflichtiges Premium-Paket für Streaming. Das verwandelt Ihr WiFi von einem Kostenfaktor in eine Einnahmequelle. [medium pause] Lassen Sie mich Ihnen nun zwei Praxisbeispiele geben. Szenario eins: ein Kreuzfahrtschiff mit 120 Kabinen. Der Betreiber nutzt Starlink Maritime mit 220 Megabit. Er setzt Cisco Meraki Access Points auf dem gesamten Schiff mit drei VLANs ein - Crew, Passagiere und Schiffssysteme. Das Captive Portal von Purple übernimmt die Passagier-Authentifizierung per E-Mail oder über eine mit dem PMS integrierte Kabinenabfrage. Jeder Passagier erhält ein tägliches Datenvolumen von 2 Gigabyte. Premium-Gäste erhalten 10 Gigabyte. Das Portal erfasst First-Party-E-Mail-Daten für das Marketing nach der Reise. Das Ergebnis: Die WiFi-Einnahmen decken die Starlink-Abonnementkosten und der Betreiber verfügt über eine wachsende Direktmarketing-Liste. Szenario zwei: Ein abgelegenes Hotel in den Highlands ohne Glasfaseranschluss. Es nutzt Starlink Business mit durchschnittlich 150 Megabit. HPE Aruba Access Points decken das Hauptgebäude und drei Nebengebäude ab. Die Authentifizierung der Gäste erfolgt per E-Mail über das Portal von Purple. Das Hotel nutzt die Analysen von Purple, um Spitzenzeiten der Nutzung zu verstehen und die Bandbreitenrichtlinien entsprechend anzupassen. Nach eigenen Angaben des Hotels wurden die Beschwerden über das Gäste-WiFi im Vergleich zum vorherigen 4G-Bonding-Setup um 60 % reduziert. [medium pause] Häufige Stolperfallen. Lassen Sie mich die fünf nennen, die ich am häufigsten sehe. Erstens: Das erneute Aktivieren des Bypass-Modus nach einem Reset der Antenne wird vergessen. Dokumentieren Sie dies in Ihrem Betriebshandbuch und richten Sie einen Überwachungsalarm auf der WAN-Schnittstelle Ihres Routers ein. Zweitens: Das Blockieren des Inter-VLAN-Routings wird versäumt. Bei jeder von mir überprüften Bereitstellung, bei der es zu einem Sicherheitsvorfall kam, war dies falsch konfiguriert. Überprüfen Sie dies lieber zweimal. Drittens: Die Verwendung einer HTTP-Weiterleitung für das Captive Portal in einem Netzwerk, in dem Gäste HTTPS-first-Browser verwenden. Moderne Browser verwenden standardmäßig HTTPS. Ihr Router muss das HTTPS-Abfangen korrekt verarbeiten, da die Gäste sonst Zertifikatsfehler sehen, bevor sie das Portal erreichen. Das Portal von Purple verarbeitet dies, aber Ihre Router-Konfiguration muss korrekt sein. Viertens: Das Ausbleiben separater Tests auf iOS und Android. Der Captive Network Assistant von Apple und der Netzwerk-Probe von Android verhalten sich unterschiedlich. Testen Sie beide vor dem Go-Live. Fünftens: Die Latenz wird ignoriert. Die LEO-Konstellation von Starlink bietet eine Latenz von 20 bis 40 Millisekunden - weitaus besser als herkömmliche geostationäre Satelliten. Bei Übergaben zwischen Satelliten kann es jedoch zu kurzen Spitzen kommen. Die Timeout-Einstellungen Ihres Captive Portals müssen dies berücksichtigen. Richten Sie die Session-Keepalive-Intervalle auf 60 Sekunden oder weniger ein. [medium pause] Schnelle Fragerunde. Benötige ich eine statische IP für ein Captive Portal auf Starlink? Nein, wenn Ihr Portal eine in der Cloud gehostete Architektur mit Reverse-Tunneling nutzt. Ja, wenn Sie ein lokales RADIUS betreiben. Kann ich mehrere SSIDs auf Starlink betreiben? Ja - Ihre Enterprise Access Points übernehmen die Erstellung der SSID. Starlink im Bypass-Modus stellt lediglich den Uplink bereit. Sie können so viele SSIDs betreiben, wie Ihre Access Points unterstützen. Funktioniert Purple sofort mit Starlink? Ja. Sie konfigurieren den Bypass-Modus auf der Starlink-Antenne, schließen Ihre unterstützten Access Points an und richten die RADIUS- oder API-Integration auf die Cloud von Purple aus. Das Portal ist innerhalb einer Stunde live. Was passiert, wenn die Starlink-Verbindung abbricht? Das Portal von Purple speichert aktive Sitzungen für einen konfigurierbaren Zeitraum - in der Regel 24 Stunden - lokal auf dem Router zwischen. Bereits authentifizierte Gäste bleiben online. Neue Authentifizierungen werden in eine Warteschlange gestellt, bis die Verbindung wiederhergestellt ist. [medium pause] Zusammenfassend lässt sich sagen: Starlink stellt Ihnen die Leitung zur Verfügung. Ihr Enterprise-Router im Bypass-Modus gibt Ihnen die Kontrolle über die Routing-Ebene. Die VLAN-Segmentierung isoliert Ihren Datenverkehr für Gäste, Mitarbeiter und IoT. Ein Cloud Captive Portal - in diesem Fall von Purple - übernimmt die Authentifizierung, die GDPR-Einwilligung, die Bandbreitenrichtlinie und die Erfassung von First-Party-Daten. Die CGNAT-Einschränkung wird durch eine Reverse-Tunnel-Architektur gelöst, nicht durch eine statische IP. Und das Bandbreitenmanagement auf Portal-Ebene sorgt dafür, dass Ihre Starlink-Verbindung für alle nutzbar bleibt. Wenn Sie dies für Ihren Standort prüfen, besteht der nächste Schritt darin, zu überprüfen, welche Access-Point-Hardware Sie verwenden - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks oder Fortinet - und die Integrationsdokumentation von Purple für diese Plattform zu bestätigen. Die vollständige technische Anleitung finden Sie unter purple.ai, und das Purple-Team kann Sie durch eine Proof-of-Concept-Konfiguration für Ihren spezifischen Standort führen. Vielen Dank fürs Zuhören. Wir sehen uns beim nächsten Briefing.

header_image.png

Executive Summary

Starlink bietet Konnektivität mit bis zu 220 Mbps an Orten, an denen Glasfaser nicht verfügbar ist, und verändert damit die Netzwerklandschaft für abgelegene Standorte und maritime Betriebe grundlegend. Für öffentlich zugängliche Umgebungen reicht Konnektivität allein jedoch nicht aus. Wenn Sie Starlink für Gäste, Passagiere oder Besatzungsmitglieder bereitstellen, müssen Sie Authentifizierung, Zugriffskontrolle, GDPR-konforme Einwilligung und Bandbreitenmanagement implementieren. Der native Starlink-Router bietet keine dieser Funktionen.

Diese Anleitung erklärt im Detail, wie Sie die native Starlink-Hardware umgehen und ein in der Cloud verwaltetes Captive Portal mithilfe von Enterprise-Routing-Geräten integrieren. Sie erfahren, wie Sie die Einschränkungen von Carrier Grade NAT (CGNAT) überwinden, VLAN-Segmentierung implementieren, Satellitenbandbreitenbeschränkungen verwalten und die Einhaltung gesetzlicher Vorschriften gewährleisten.

Durch die Implementierung dieser Architektur verwandeln Standortbetreiber eine ungesteuerte Internetleitung in ein sicheres, segmentiertes Netzwerk, das First-Party-Daten erfasst und die zentrale Unternehmensinfrastruktur schützt.

Technische Vertiefung

Die CGNAT-Einschränkung

Die größte technische Hürde bei der Bereitstellung eines Captive Portal auf Starlink ist Carrier Grade NAT (CGNAT). Die Standard-Starlink-Antenne verbindet sich mit einem proprietären Router, der DHCP und NAT übernimmt. Standardmäßig liegt die Ihrem Gerät zugewiesene WAN-IP-Adresse im Bereich 100.64.0.0/10. Da es sich hierbei nicht um eine öffentliche IP-Adresse handelt, kann Ihr Router keine eingehenden Verbindungen aus dem Internet empfangen.

Standardmäßige Captive Portal-Architekturen setzen oft voraus, dass das Cloud-Portal auf Ihr Netzwerk zugreifen kann, um Benutzer zu authentifizieren oder Zugriffssteuerungslisten zu aktualisieren. Mit CGNAT schlagen eingehende Verbindungen fehl.

Um dies zu beheben, müssen Sie die Starlink-Antenne im Bypass-Modus (oft auch als Bridge-Modus bezeichnet) konfigurieren. Im Bypass-Modus sind die Funktionen des Starlink-Routers deaktiviert, und die Antenne leitet die CGNAT-Adresse direkt an den WAN-Port Ihres Enterprise-Routers weiter. Ihr Enterprise-Router übernimmt dann die vollständige Kontrolle über die Routing-Ebene.

architecture_overview.png

Reverse-Tunnel-Architektur

Selbst wenn der Enterprise-Router den Datenverkehr verarbeitet, bleibt die CGNAT-Einschränkung für eingehende Verbindungen bestehen. Die Lösung ist eine Reverse-Tunnel-Architektur. Ihr Router baut eine ausgehende Verbindung zum Cloud-Portal auf und hält diese kontinuierlich aufrecht. Der gesamte Authentifizierungsverkehr fließt über diesen aufgebauten Tunnel. Die Cloud-Infrastruktur muss niemals eine eingehende Verbindung initiieren.

Die Cloud-Overlay-Architektur von Purple bewältigt dies nativ. Sie müssen keine manuellen VPN-Tunnel konfigurieren. Wenn Ihre Bereitstellung eine statische IP für ältere On-Premises-RADIUS-Server oder ein strenges IP-Allowlisting erfordert, bieten die Starlink Business- und Maritime-Tarife eine statische IP als kostenpflichtiges Add-on.

Bandbreitenbeschränkungen und Traffic Shaping

Satellitenbandbreite ist eine gemeinsam genutzte, begrenzte Ressource. Ein einziger Benutzer, der ein 4K-Video streamt, kann kontinuierlich 25 Mbps verbrauchen. Auf einem Schiff mit 50 Passagieren, die sich eine Starlink-Verbindung mit 220 Mbps teilen, könnte ein einziger Benutzer 11 % der Gesamtkapazität beanspruchen.

Sie müssen dem auf Ebene des Captive Portals und des Routers durch aggressives Traffic Shaping entgegenwirken:

  • Limits pro Gerät: Begrenzen Sie einzelne Gastgeräte auf 5 Mbps Download und 2 Mbps Upload.
  • Fair-Use-Richtlinien: Setzen Sie tägliche Datenlimits durch (z. B. 2 GB pro 24 Stunden).
  • Anwendungssteuerung: Priorisieren Sie Web-Browsing und Messaging-Protokolle gegenüber Video-Streaming und Peer-to-Peer-Dateifreigabe.
  • Abgestufter Zugriff: Bieten Sie eine kostenlose Stufe für die Basis-Konnektivität und eine kostenpflichtige Premium-Stufe für Streaming an, um die WiFi-Infrastruktur von einer Kostenstelle in eine Einnahmequelle zu verwandeln.

comparison_chart.png

Implementierungshandbuch

Befolgen Sie diese Schritte, um ein sicheres Captive Portal auf Starlink unter Verwendung von Enterprise-Hardware bereitzustellen.

Schritt 1: Bypass-Modus aktivieren

  1. Installieren Sie die Starlink-Hardware und überprüfen Sie die Verbindung mit dem Original-Router.
  2. Öffnen Sie die mobile Starlink-Anwendung und navigieren Sie zu Settings.
  3. Wählen und bestätigen Sie Bypass Starlink WiFi router.
  4. Verbinden Sie den Starlink-Ethernet-Adapter mit dem WAN-Port Ihres Enterprise-Routers (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet).

Hinweis: Wenn die Starlink-Antenne auf die Werkseinstellungen zurückgesetzt wird, wird der Bypass-Modus automatisch deaktiviert. Dokumentieren Sie dies in Ihrem Standort-Runbook und konfigurieren Sie einen Überwachungsalarm auf der WAN-Schnittstelle Ihres Routers.

Schritt 2: VLAN-Segmentierung konfigurieren

Sie müssen den Gast-Datenverkehr von Ihren Kerngeschäftssystemen isolieren. Konfigurieren Sie mindestens drei VLANs auf Ihrem Core-Switch und Ihren Access Points:

  • VLAN 10 (Mitarbeiter): Überträgt POS-Systeme, Backoffice-Anwendungen und Administrations-Traffic.
  • VLAN 20 (Gast): Reines Internet-Segment, das zum Captive Portal weiterleitet.
  • VLAN 30 (IoT): Isoliertes Netzwerk für Kameras, intelligente Thermostate und Gebäudemanagementsysteme.

Konfigurieren Sie Firewall-Regeln, um jegliches Inter-VLAN-Routing zu blockieren. Ein Gastgerät auf VLAN 20 darf niemals in der Lage sein, ein POS-Terminal auf VLAN 10 anzupingen. Diese Segmentierung ist eine strikte Anforderung für die PCI-DSS-Compliance.

Schritt 3: Cloud-basiertes Captive Portal bereitstellen

  1. Konfigurieren Sie Ihre Access Points so, dass sie die Gast-SSID auf VLAN 20 ausstrahlen.
  2. Legen Sie die Authentifizierungsmethode auf externen RADIUS fest oder nutzen Sie die API-Integration des Herstellers.3. Weisen Sie den Authentifizierungsserver auf die Cloud-Infrastruktur von Purple hin.
  3. Konfigurieren Sie den Walled Garden (Allowlist), um den Datenverkehr zu den Domains von Purple zuzulassen, bevor die Authentifizierung abgeschlossen ist.
  4. Gestalten Sie die Splash-Page im Purple Portal und stellen Sie sicher, dass das Branding zu Ihrem Veranstaltungsort passt und die Nutzungsbedingungen klar angezeigt werden.

Schritt 4: Testen des Benutzerflusses

Testen Sie den Authentifizierungsfluss sowohl auf iOS- als auch auf Android-Geräten. Apples Captive Network Assistant (CNA) und die Netzwerkprüfung von Android verhalten sich unterschiedlich. Überprüfen Sie, ob die Splash-Page innerhalb von 10 Sekunden geladen wird und das Gerät sofort nach der Authentifizierung Internetzugang erhält.

Best Practices

  • HTTPS-Interception: Stellen Sie sicher, dass Ihr Router die HTTPS-Interception korrekt verarbeitet. Moderne Geräte verwenden standardmäßig HTTPS. Wenn der Router HTTPS-Anfragen nicht sauber umleiten kann, treten bei Gästen Zertifikatsfehler auf, bevor sie das Portal erreichen.
  • Session Keepalive: Die LEO-Konstellation (Low Earth Orbit) von Starlink bietet Latenzzeiten von 20 bis 40 Millisekunden, jedoch treten während der Satellitenübergabe kurze Spitzen auf. Stellen Sie das Session Keepalive-Intervall Ihres Captive Portals auf 60 Sekunden oder weniger ein, um eine vorzeitige Trennung der Verbindung zu verhindern.
  • Offline-Caching: Konfigurieren Sie Ihren Router so, dass aktive Sitzungen lokal zwischengespeichert werden. Wenn die Starlink-Verbindung vorübergehend unterbrochen wird, bleiben bereits authentifizierte Gäste online, sobald die Verbindung wiederhergestellt ist, anstatt sich erneut anmelden zu müssen.

Fehlerbehebung und Risikominderung

Fehlermodus Ursache Risikominderung
Captive Portal lädt nicht Falsche Walled Garden-Konfiguration Überprüfen Sie, ob alle erforderlichen Purple-Domains und CDN-Endpunkte zur Pre-Authentifizierungs-Allowlist auf dem Router hinzugefügt wurden.
Double NAT-Fehler Bypass-Modus ist deaktiviert Überprüfen Sie die Starlink-App, um zu bestätigen, dass der Bypass-Modus aktiv ist. Stromschwankungen oder manuelle Resets haben die Antenne möglicherweise auf die Standardeinstellungen zurückgesetzt.
Langsame Gast-Geschwindigkeiten Unbeschränkte Bandbreite Wenden Sie Bandbreitenbegrenzungen pro Gerät an (z. B. 5 Mbps) und blockieren Sie Anwendungen mit hoher Bandbreite wie BitTorrent auf der Firewall.
Fehlgeschlagene Sicherheitsprüfung Inter-VLAN-Routing ist aktiviert Überprüfen Sie die Firewall-Regeln, um sicherzustellen, dass der Datenverkehr aus dem Gäste-VLAN nicht an das Mitarbeiter- oder Management-VLAN weitergeleitet werden kann.

ROI und geschäftlicher Nutzen

Die Bereitstellung eines verwalteten Captive Portals auf Starlink verwandelt eine reine Internetverbindung in ein messbares Geschäftsgut.

Bei einem Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbps nutzt, bringt ein ungesteuerter Zugang keinen geschäftlichen Ertrag. Durch den Einsatz von Cisco Meraki Access Points und dem Captive Portal von Purple kann der Betreiber ein tägliches Limit von 2 GB für Standard-Passagiere durchsetzen, während ein Premium-Tarif mit 10 GB als Upsell angeboten wird. Die daraus resultierenden WiFi-Einnahmen decken die monatlichen Starlink-Abonnementkosten von über 250 USD. Darüber hinaus erfasst das Portal vollständig datenschutzkonforme First-Party-E-Mail-Daten, was die Direktmarketing-Liste des Betreibers für zukünftige Reisen erweitert. In einer abgelegenen Hotelumgebung reduziert die Bereitstellung eines Portals mit strengen Bandbreitenrichtlinien die Beschwerden von Gästen über langsames WiFi um bis zu 60%, da verhindert wird, dass Power-User die Satellitenverbindung monopolisieren.

Schlüsseldefinitionen

Bypass-Modus

Eine Konfigurationseinstellung, die die DHCP- und NAT-Funktionen des nativen Starlink-Routers deaktiviert und die WAN-IP direkt an einen Enterprise-Router eines Drittanbieters weiterleitet.

Erforderlich bei der Integration von Enterprise-Netzwerkgeräten mit einer Starlink-Antenne, um Doppel-NAT und Routing-Konflikte zu vermeiden.

CGNAT (Carrier Grade NAT)

Eine von ISPs verwendete Methode, um eine einzige öffentliche IP-Adresse mit mehreren Kunden zu teilen. Der Router des Kunden erhält eine private IP-Adresse (normalerweise 100.64.0.0/10).

Starlink verwendet standardmäßig CGNAT, was eingehende Verbindungen aus dem Internet verhindert und Reverse-Tunnel-Architekturen für das Cloud-Management erfordert.

VLAN (Virtual Local Area Network)

Ein logisches Subnetz, das eine Gruppe von Geräten aus verschiedenen physischen LANs zusammenfasst.

Wird verwendet, um den Gast-WiFi-Verkehr vom Personal- und IoT-Netzwerk zu isolieren, um Sicherheit und Compliance zu gewährleisten.

Captive Portal

Eine Webseite, die ein Benutzer eines öffentlichen Zugangsnetzwerks anzeigen und mit der er interagieren muss, bevor ihm der Zugriff gewährt wird.

Wird verwendet, um Nutzungsbedingungen durchzusetzen, Marketingdaten zu erfassen und Benutzer in Gast-WiFi-Netzwerken zu authentifizieren.

Walled Garden

Eine begrenzte Umgebung, die den Zugriff des Benutzers auf Webinhalte und -dienste kontrolliert, bevor er sich vollständig authentifiziert hat.

Erforderlich, damit Gastgeräte das Cloud-Captive-Portal und die Authentifizierungsserver erreichen können, bevor ihnen der vollständige Internetzugang gewährt wird.

RADIUS

Ein Netzwerkprotokoll, das eine zentrale Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung für Benutzer bereitstellt, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Das zugrunde liegende Protokoll, das von Enterprise Access Points verwendet wird, um mit dem Cloud-Captive-Portal zu kommunizieren, um Benutzeranmeldedaten zu überprüfen.

Traffic Shaping

Die Steuerung und Priorisierung des Netzwerkverkehrs, um die Auswirkungen von Intensivnutzern oder latenzempfindlichen Anwendungen zu reduzieren.

Unerlässlich in Starlink-Netzwerken, um das Surfen im Internet gegenüber bandbreitenintensiven Aktivitäten wie Videostreaming zu priorisieren.

First-Party-Daten

Informationen, die ein Unternehmen direkt von seinen Kunden sammelt und selbst besitzt.

Erfasst über den Registrierungsprozess des Captive Portals (z. B. E-Mail-Adressen) und genutzt für Direktmarketing- und Loyalitätskampagnen.

Ausgearbeitete Beispiele

Ein Kreuzfahrtschiff mit 120 Kabinen, das Starlink Maritime mit 220 Mbps nutzt, muss Passagier-WiFi bereitstellen, ohne den Schiffsbetrieb zu beeinträchtigen. Es wird ein Mechanismus benötigt, um die Verbindung zu monetarisieren und Marketingdaten zu erfassen.

Der Betreiber installiert Cisco Meraki Access Points auf dem gesamten Schiff mit drei strikten VLANs: Crew, Passagiere und Schiffssysteme. Das Captive Portal von Purple verwaltet die Passagierauthentifizierung per E-Mail oder über eine mit dem PMS integrierte Kabinenabfrage. Jeder Passagier erhält ein tägliches Kontingent von 2 GB. Premium-Passagiere können ein Kontingent von 10 GB erwerben. Das Portal erfasst First-Party-E-Mail-Daten für das Marketing nach der Reise.

Kommentar des Prüfers: Dieser Ansatz löst das Bandbreitenproblem durch strikte tägliche Limits und generiert gleichzeitig direkte Einnahmen. Die VLAN-Segmentierung stellt sicher, dass der Passagierverkehr kritische Schiffssysteme nicht gefährden kann. Die PMS-Integration sorgt für ein reibungsloses Login-Erlebnis.

Ein abgelegenes Hotel in den Highlands ohne Glasfaserinfrastruktur betreibt Starlink Business mit 150 Mbps. Gäste beschweren sich abends häufig über langsame Geschwindigkeiten, und das Hotel hat keine Übersicht darüber, wer das Netzwerk nutzt.

Das Hotel installiert HPE Aruba Access Points im Hauptgebäude und in den Nebengebäuden. Die Starlink-Antenne wird im Bypass-Modus konfiguriert und mit einem Aruba Gateway verbunden. Gäste authentifizieren sich per E-Mail über das Portal von Purple. Das Hotel erzwingt ein striktes Bandbreitenlimit von 5 Mbps pro Gerät und nutzt die Analysen von Purple, um die Hauptnutzungszeiten zu überwachen.

Kommentar des Prüfers: Durch die Implementierung einer Bandbreitenbegrenzung pro Gerät verhindert das Hotel, dass einzelne Gäste in den Hauptabendstunden die 150-Mbps-Verbindung monopolisieren. Die E-Mail-Authentifizierung erfasst First-Party-Daten für zukünftige Direktbuchungskampagnen und verringert so die Abhängigkeit von OTAs.

Übungsfragen

Q1. Ein abgelegenes Minencamp hat Starlink Business bereitgestellt. Es hat eine Cisco Meraki MX Firewall an den Starlink-Router angeschlossen. Gäste können sich mit dem WiFi verbinden, aber die Seite des Captive Portals läuft in ein Timeout und lädt nicht. Was ist die wahrscheinlichste Ursache?

Hinweis: Berücksichtigen Sie, wie die Starlink-Hardware standardmäßig das Routing handhabt und was die Meraki-Firewall benötigt, um den Datenverkehr effektiv zu verwalten.

Musterlösung anzeigen

Die Starlink-Antenne wurde nicht in den Bypass Mode versetzt. Infolgedessen leidet das Netzwerk unter doppeltem NAT (der Starlink-Router und die Meraki-Firewall versuchen beide, eine Netzwerkadressübersetzung durchzuführen). Der Administrator muss die Starlink-App verwenden, um den Bypass Mode zu aktivieren, damit die Meraki-Firewall die CGNAT-IP direkt empfangen und das Routing sowie das Abfangen des Captive Portals verwalten kann.

Q2. Sie stellen ein Captive Portal für ein Hotel unter Verwendung von Starlink bereit. Sie haben den Bypass Mode und eine VLAN-Segmentierung konfiguriert. Beim Testen stellen Sie fest, dass Apple-Geräte den Benutzer sofort zur Anmeldung auffordern, einige Android-Geräte jedoch einen Zertifikatsfehler anzeigen, wenn der Benutzer versucht, vor der Authentifizierung eine sichere Website aufzurufen. Wie lösen Sie das?

Hinweis: Denken Sie darüber nach, wie moderne Browser erste Verbindungsanfragen handhaben und was der Router tun muss, um diese sauber abzufangen.

Musterlösung anzeigen

Der Enterprise-Router ist nicht so konfiguriert, dass er das HTTPS-Abfangen für die Weiterleitung zum Captive Portal korrekt handhabt. Moderne Browser verwenden standardmäßig HTTPS. Wenn der Benutzer versucht, vor der Authentifizierung eine HTTPS-Seite aufzurufen, fängt der Router den Datenverkehr ab und präsentiert sein eigenes Zertifikat, das der Browser als ungültig ablehnt. Sie müssen sicherstellen, dass die Captive Portal-Einstellungen des Routers so konfiguriert sind, dass sie ein gültiges SSL-Zertifikat für die Weiterleitung verwenden, oder sich auf die Netzwerk-Probes auf Betriebssystemebene (wie die CNA von Apple) verlassen, die HTTP-Endpunkte verwenden, um das Portal automatisch auszulösen.

Q3. Ein Schifffahrtsunternehmen beklagt sich darüber, dass seine Starlink Maritime-Verbindung (220 Mbps) jeden Abend unbrauchbar wird. Momentan wird ein offenes, passwortfreies Gästenetzwerk angeboten. Welche drei spezifischen Konfigurationen sollten Sie auf dem Enterprise-Router und dem Captive Portal implementieren, um dies zu beheben?

Hinweis: Konzentrieren Sie sich darauf, zu kontrollieren, wie viele Daten einzelne Benutzer verbrauchen können, und kritische Datenverkehrsarten zu priorisieren.

Musterlösung anzeigen
  1. Implementieren Sie ein Captive Portal, das eine Authentifizierung erfordert, um einzelne Benutzer zu verfolgen und zu verwalten. 2. Setzen Sie Bandbreitenbegrenzungen pro Gerät durch (z. B. 5 Mbps Down / 2 Mbps Up), um zu verhindern, dass ein einzelner Benutzer die Verbindung monopolisiert. 3. Wenden Sie Traffic-Shaping-Regeln auf der Firewall an, um das Surfen im Web und Messaging-Protokolle zu priorisieren, während bandbreitenintensive Anwendungen wie Video-Streaming und P2P-Dateifreigabe gedrosselt oder blockiert werden.