Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Hable en español de España con un tono seguro, autoritario y conversacional, como un consultor sénior que informa a un cliente. Ritmo pausado, articulación clara, cálido pero profesional. Sin palabras de relleno. Pausas breves ocasionales para dar énfasis: Bienvenido a la sesión informativa técnica de Purple. Voy a guiarle a través de todo lo que necesita saber sobre la configuración de un Captive Portal en Starlink, específicamente para establecimientos remotos, operadores marítimos y cualquiera que ofrezca WiFi para invitados donde la fibra simplemente no es una opción. [pausa media] Comencemos con el problema. Starlink ha cambiado realmente el panorama de la conectividad para los establecimientos que antes estaban limitados a conexiones satelitales lentas y costosas o a un 4G inestable. Un crucero, un hotel remoto en las Highlands, una unidad de bienestar en una obra en construcción, un festival en el campo... todos ellos pueden obtener ahora de 100 a 220 megabits por segundo con una antena del tamaño de una pizza grande. Eso es extraordinario. Pero aquí está el detalle: la conectividad básica es solo la mitad del trabajo. En el momento en que pone esa conexión a disposición de invitados, pasajeros o tripulación, necesita autenticación, control de acceso, consentimiento conforme a la GDPR y gestión del ancho de banda. Starlink no ofrece nada de eso de forma nativa. Ahí es donde entra en juego un Captive Portal. Y eso es lo que vamos a construir hoy. [pausa media] Sección uno: comprender las limitaciones de la red Starlink. Antes de tocar un router, debe comprender qué le ofrece realmente Starlink en la interfaz WAN. La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. De forma predeterminada, se encuentra detrás de un NAT de grado de operador, lo que los ingenieros llaman CGNAT. Esto significa que su dirección IP de WAN está en el rango de 100.64 a 100.127. No es una IP pública. No puede recibir conexiones entrantes desde internet. Y esto es sumamente importante para la arquitectura del Captive Portal. La solución es el Bypass Mode, a veces llamado modo puente. Esto se activa en la aplicación de Starlink, en Configuración, activando la opción "Bypass Starlink WiFi router". Una vez activado, la antena de Starlink pasa la dirección CGNAT directamente al puerto WAN de su router empresarial. El router de Starlink deja de realizar funciones de DHCP y NAT. Su router toma el control. Sigue estando detrás de CGNAT, pero ahora tiene el control total de la capa de enrutamiento. Un punto crítico: si la antena de Starlink se restablece de fábrica por cualquier motivo, el Bypass Mode se desactiva. Tendrá que volver a activarlo. Incorpore esto en el manual de procedimientos de su sitio. [pausa media] Ahora bien, Starlink ofrece tres niveles de planes relevantes para los operadores de establecimientos. El plan Standard ofrece hasta 100 megabits de bajada, prioridad de mejor esfuerzo y sin opción de IP estática. El plan Business ofrece hasta 220 megabits, asignación de datos prioritarios y un complemento de IP estática. El plan Maritime ofrece las mismas velocidades con portabilidad global, algo esencial si el barco se desplaza entre regiones oceánicas. Para cualquier establecimiento multiusuario, recomendaría como mínimo Business o Maritime. Los datos de mejor esfuerzo en el plan Standard significan que sus invitados perderán prioridad siempre que la celda satelital esté congestionada. [pausa media] Sección dos: la pila de arquitectura. Esta es la pila de cuatro capas que va a construir. La capa uno es el enlace ascendente de Starlink en Bypass Mode. La capa dos es su router o cortafuegos empresarial: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet... cualquiera de ellos sirve. La capa tres es la segmentación de VLAN a nivel de conmutador o punto de acceso. La capa cuatro es el Captive Portal en la nube, que gestiona la autenticación, el consentimiento y las analíticas. Permítame detenerme un momento en la segmentación de VLAN porque no es negociable. Necesita como mínimo tres VLAN. La VLAN 10 para el personal: transporta sus sistemas POS, aplicaciones de oficina y tráfico de gestión. La VLAN 20 para invitados: es el segmento exclusivo de internet que dirige al Captive Portal. La VLAN 30 para IoT: cámaras, termostatos inteligentes, sistemas de gestión de edificios. Estas tres redes no deben poder comunicarse entre sí. El enrutamiento inter-VLAN debe bloquearse en el cortafuegos. Un invitado en la VLAN 20 nunca debe poder acceder a su terminal POS en la VLAN 10. Eso no es solo una buena práctica, es un requisito de PCI DSS si procesa pagos con tarjeta en cualquier parte de la misma infraestructura física. [pausa media] El Captive Portal en sí reside en la nube. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, el router intercepta la solicitud HTTP y la redirige a la página de inicio de sesión del portal. El invitado se autentica (a través de correo electrónico, inicio de sesión social o un código de cupón), acepta las condiciones de servicio y el portal indica al router que conceda acceso a internet a esa dirección MAC. Todo el flujo debería completarse en menos de 10 segundos en un dispositivo móvil. Con Purple, ese portal en la nube se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Configura la integración de RADIUS o API una vez, y Purple se encarga del saludo de autenticación. No se requiere un servidor de autenticación local. Esto es fundamental para establecimientos remotos donde no se puede ejecutar un servidor RADIUS local. [pausa media] Sección tres: el problema de CGNAT y cómo solucionarlo. Este es el desafío que suele pillar desprevenidos a la mayoría de los equipos de TI. Las arquitecturas estándar de Captive Portal asumen que el portal en la nube puede comunicarse de vuelta con su red. Con CGNAT, eso es imposible. Las conexiones entrantes están bloqueadas. La solución es una arquitectura de túnel inverso. Su router establece una conexión saliente con el portal en la nube y la mantiene abierta de forma persistente. Todo el tráfico de autenticación fluye a través de ese túnel. La nube nunca necesita iniciar una conexión entrante. La arquitectura superpuesta en la nube de Purple gestiona esto de forma nativa; no necesita configurar túneles WireGuard o OpenVPN manualmente, aunque ambas son alternativas válidas si gestiona su propia infraestructura. Si necesita una IP estática (por ejemplo, si ejecuta un servidor RADIUS local o necesita una lista de IP permitidas consistente), Starlink Business y Maritime ofrecen una IP estática como complemento de pago. En el momento de esta grabación, está disponible en la mayoría de las regiones. Consulte las páginas de planes actuales de Starlink para su territorio específico. [pausa media] Sección cuatro: GDPR y cumplimiento de datos. Aquí es donde los establecimientos remotos y marítimos a menudo se ven afectados. El hecho de que su establecimiento esté en un barco en aguas internacionales, o en una ubicación remota, no le exime de la GDPR si recopila datos de residentes de la UE. Y si opera en aguas del Reino Unido después del Brexit, se aplica la GDPR del Reino Unido. Su Captive Portal debe presentar una casilla de verificación de consentimiento específica y sin marcar para comunicaciones de marketing. Debe indicar claramente qué datos recopila, por qué y durante cuánto tiempo los conservará. Las condiciones de servicio deben ser accesibles antes de que el invitado se autentique. Y debe poder demostrar, bajo petición, que una persona específica dio su consentimiento en una fecha y hora determinadas. Purple cuenta con la certificación ISO 27001, cumple con la GDPR, la CCPA y cuenta con la certificación Cyber Essentials. Cada evento de inicio de sesión se registra con una marca de tiempo, una dirección IP y un registro de consentimiento. Ese registro de auditoría es lo que le protege si un regulador hace preguntas. [pausa media] Sección cinco: gestión del ancho de banda. En Starlink, el ancho de banda es su recurso más limitado. Un solo pasajero que transmita vídeo en 4K puede consumir 25 megabits por segundo de forma continua. En un barco con 50 pasajeros y una conexión de 220 megabits, eso representa una sola persona consumiendo el 11% de la capacidad total. Debe abordar esto a nivel de Captive Portal y de router. Establezca límites de ancho de banda por dispositivo; por ejemplo, 5 megabits de bajada y 2 megabits de subida por dispositivo de invitado. Implemente políticas de uso justo que limiten la velocidad tras superar una asignación diaria de datos. Utilice el Traffic Shaping para priorizar la navegación web y la mensajería sobre la transmisión de vídeo. Y considere el acceso por niveles: un nivel gratuito para conectividad básica y un nivel premium de pago para streaming. Eso convierte su WiFi de un gasto a una fuente de ingresos. [pausa media] Permítame presentarle dos escenarios del mundo real. Escenario uno: un crucero de 120 camarotes. El operador utiliza Starlink Maritime a 220 megabits. Despliegan puntos de acceso Cisco Meraki por todo el barco con tres VLAN: tripulación, pasajeros y sistemas del barco. El Captive Portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda de número de camarote integrada con el PMS. Cada pasajero recibe una asignación diaria de 2 gigabytes. Los pasajeros del nivel premium reciben 10 gigabytes. El portal recopila datos de correo electrónico de primera mano para marketing posterior al viaje. Resultado: los ingresos de WiFi cubren el coste de la suscripción a Starlink y el operador dispone de una lista de marketing directo en constante crecimiento. Escenario dos: un hotel remoto en las Highlands sin fibra. Utilizan Starlink Business con una media de 150 megabits. Los puntos de acceso HPE Aruba cubren el edificio principal y tres anexos. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel utiliza las analíticas de Purple para comprender las horas de mayor uso y ajusta las políticas de ancho de banda en consecuencia. Han reducido las quejas sobre el WiFi de los huéspedes en un 60% en comparación con su configuración anterior de agregación 4G, según sus propios datos operativos. [pausa media] Errores comunes. Permítame repasar los cinco que veo con más frecuencia. Uno: olvidar volver a activar el Bypass Mode después de restablecer la antena. Documente esto en su manual de procedimientos y configure una alerta de monitorización en la interfaz WAN de su router. Dos: no bloquear el enrutamiento inter-VLAN. Cada despliegue que he revisado que tuvo un incidente de seguridad tenía esto mal configurado. Compruébelo dos veces. Tres: utilizar la redirección HTTP para el Captive Portal en una red donde los invitados utilizan navegadores que priorizan HTTPS. Los navegadores modernos utilizan HTTPS de forma predeterminada. Su router debe gestionar la intercepción HTTPS correctamente, o los invitados verán errores de certificado antes de llegar al portal. El portal de Purple gestiona esto, pero la configuración de su router debe ser correcta. Cuatro: no realizar pruebas en iOS y Android por separado. El Captive Network Assistant de Apple y la sonda de red de Android se comportan de forma diferente. Pruebe ambos antes de la puesta en marcha. Cinco: ignorar la latencia. La constelación LEO de Starlink ofrece una latencia de 20 a 40 milisegundos, mucho mejor que la de los satélites geoestacionarios tradicionales. Pero durante los traspasos entre satélites, se pueden observar breves picos. La configuración del tiempo de espera de su Captive Portal debe tener esto en cuenta. Establezca los intervalos de mantenimiento de sesión (keepalive) en 60 segundos o menos. [pausa media] Preguntas rápidas. ¿Necesito una IP estática para un Captive Portal en Starlink? No, si su portal utiliza una arquitectura alojada en la nube con túnel inverso. Sí, si utiliza un RADIUS local. ¿Puedo tener varios SSID en Starlink? Sí, sus puntos de acceso empresariales se encargan de la creación de los SSID. Starlink en Bypass Mode solo proporciona el enlace ascendente. Puede tener tantos SSID como admitan sus puntos de acceso. ¿Funciona Purple con Starlink de forma nativa? Sí. Configura el Bypass Mode en la antena de Starlink, conecta sus puntos de acceso compatibles y apunta la integración de RADIUS o API a la nube de Purple. El portal estará activo en menos de una hora. ¿Qué ocurre si se cae la conexión de Starlink? El portal de Purple almacena en caché las sesiones activas localmente en el router durante un periodo configurable, normalmente 24 horas. Los invitados que ya están autenticados permanecen conectados. Las nuevas autenticaciones se ponen en cola hasta que se restablece la conectividad. [pausa media] En resumen. Starlink le proporciona la conexión. Su router empresarial en Bypass Mode le otorga el control de la capa de enrutamiento. La segmentación de VLAN aísla el tráfico de sus invitados, personal e IoT. Un Captive Portal en la nube (el de Purple, en este caso) gestiona la autenticación, el consentimiento de la GDPR, la política de ancho de banda y la recopilación de datos de primera mano. La limitación de CGNAT se resuelve mediante una arquitectura de túnel inverso, no mediante una IP estática. Y la gestión del ancho de banda a nivel de portal es lo que mantiene su conexión Starlink utilizable para todos. Si está evaluando esto para su establecimiento, el siguiente paso es comprobar qué hardware de puntos de acceso está utilizando (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet) y confirmar la documentación de integración de Purple para esa plataforma. Puede encontrar la guía técnica completa en purple.ai, y el equipo de Purple puede guiarle a través de una configuración de prueba de concepto para su sitio específico. Gracias por escuchar. Nos vemos en la próxima sesión informativa.