Cómo configurar un Captive Portal en Starlink: Una guía para establecimientos remotos y marítimos
Esta guía detalla cómo eludir el hardware nativo de Starlink e integrar un captive portal administrado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá cómo superar la limitación de CGNAT, aplicar la segmentación de VLAN, administrar las restricciones de ancho de banda satelital y garantizar el cumplimiento normativo.
Escucha esta guía
Ver transcripción del podcast
- Resumen ejecutivo
- Análisis técnico profundo
- La limitación de CGNAT
- Arquitectura de túnel inverso
- Limitaciones de ancho de banda y control de tráfico
- Guía de implementación
- Paso 1: Activar el Modo Bypass
- Paso 2: Configurar la segmentación de VLAN
- Paso 3: Implementar el Captive Portal en la nube
- Paso 4: Pruebe el flujo de usuarios
- Mejores prácticas
- Resolución de problemas y mitigación de riesgos
- ROI e impacto comercial

Resumen ejecutivo
Starlink proporciona conectividad de 220 Mbps en ubicaciones donde la fibra no puede llegar, cambiando por completo el panorama de las redes para lugares remotos y marítimos. Sin embargo, para entornos de cara al público, la conectividad por sí sola no es suficiente. Al implementar Starlink para huéspedes, pasajeros o tripulación, se debe implementar autenticación, control de acceso, consentimiento que cumpla con GDPR y administración de ancho de banda. El router nativo de Starlink no proporciona ninguna de estas capacidades.
Esta guía explica detalladamente cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá a superar las limitaciones de Carrier Grade NAT (CGNAT), implementar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.
Al implementar esta arquitectura, los operadores de establecimientos transforman un canal de internet no gestionado en una red segura y segmentada que captura datos de primera mano y protege la infraestructura empresarial principal.
Análisis técnico profundo
La limitación de CGNAT
El principal obstáculo técnico al implementar un Captive Portal en Starlink es Carrier Grade NAT (CGNAT). La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. Por defecto, la dirección IP WAN asignada a su equipo se encuentra dentro del rango 100.64.0.0/10. Dado que esta no es una dirección IP pública, su router no puede recibir conexiones entrantes desde internet.
Las arquitecturas estándar de Captive Portal a menudo asumen que el portal en la nube puede conectarse de vuelta a su red para autenticar usuarios o actualizar las listas de control de acceso. Con CGNAT, las conexiones entrantes fallan.
Para resolver esto, debe configurar la antena de Starlink en Bypass Mode (a menudo denominado modo puente). En Bypass Mode, las funciones del router de Starlink se desactivan y la antena envía la dirección CGNAT directamente al puerto WAN de su router empresarial. Su router empresarial toma entonces el control total de la capa de enrutamiento.

Arquitectura de túnel inverso
Incluso con el router empresarial gestionando el tráfico, la restricción de entrada de CGNAT permanece. La solución es una arquitectura de túnel inverso. Su router establece una conexión saliente hacia el portal en la nube y la mantiene de forma continua. Todo el tráfico de autenticación fluye a través de este túnel establecido. La infraestructura de la nube nunca necesita iniciar una conexión entrante.
La arquitectura superpuesta en la nube de Purple maneja esto de forma nativa. No es necesario configurar túneles VPN manuales. Si su despliegue requiere una IP estática para servidores RADIUS locales heredados o una lista de permisos de IP estricta, los planes Starlink Business y Maritime proporcionan una IP estática como un complemento de pago.
Limitaciones de ancho de banda y control de tráfico
El ancho de banda satelital es un recurso compartido y finito. Un solo usuario que reproduzca video en 4K puede consumir continuamente 25 Mbps. En una embarcación con 50 pasajeros que comparten una conexión Starlink de 220 Mbps, un solo usuario podría consumir el 11% de la capacidad total.
Debe solucionar esto a nivel de Captive Portal y router mediante un control de tráfico estricto:
- Límites por dispositivo: Restrinja los dispositivos de invitados individuales a 5 Mbps de descarga y 2 Mbps de subida.
- Políticas de uso justo: Aplique asignaciones de datos diarias (por ejemplo, 2 GB por cada 24 horas).
- Control de aplicaciones: Priorice la navegación web y los protocolos de mensajería sobre la transmisión de video y el intercambio de archivos de igual a igual.
- Acceso por niveles: Ofrezca un nivel gratuito para conectividad básica y un nivel premium de pago para streaming, transformando la infraestructura de WiFi de un centro de costos en una fuente de ingresos.

Guía de implementación
Siga estos pasos para implementar un Captive Portal seguro en Starlink utilizando hardware empresarial.
Paso 1: Activar el Modo Bypass
- Instale el hardware de Starlink y verifique la conectividad utilizando el router original.
- Abra la aplicación móvil de Starlink y vaya a Configuración.
- Seleccione y confirme Omitir el router WiFi de Starlink.
- Conecte el adaptador Ethernet de Starlink al puerto WAN de su router empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet).
Nota: Si la antena de Starlink se somete a un restablecimiento de fábrica, el Modo Bypass se desactiva automáticamente. Documente esto en su manual de procedimientos del sitio y configure una alerta de monitoreo en la interfaz WAN de su router.
Paso 2: Configurar la segmentación de VLAN
Debe aislar el tráfico de invitados de sus sistemas comerciales principales. Configure al menos tres VLAN en su switch principal y puntos de acceso:
- VLAN 10 (Personal): Transporta sistemas de punto de venta (POS), aplicaciones administrativas y tráfico de gestión.
- VLAN 20 (Invitados): Segmento de solo internet que redirige al Captive Portal.
- VLAN 30 (IoT): Red aislada para cámaras, termostatos inteligentes y sistemas de gestión de edificios.
Configure reglas de firewall para bloquear todo el enrutamiento entre VLAN. Un dispositivo de invitado en la VLAN 20 nunca debe poder hacer ping a una terminal de punto de venta (POS) en la VLAN 10. Esta segmentación es un requisito estricto para el cumplimiento de PCI-DSS.
Paso 3: Implementar el Captive Portal en la nube
- Configure sus puntos de acceso para transmitir el SSID de invitados en la VLAN 20.
- Establezca el método de autenticación en RADIUS externo o utilice la integración API del proveedor.3. Apunte el servidor de autenticación a la infraestructura en la nube de Purple.
- Configure el walled garden (lista de permitidos) para autorizar el tráfico a los dominios de Purple antes de que se complete la autenticación.
- Diseñe la página de bienvenida en el portal de Purple, asegurándose de que la identidad de marca coincida con su establecimiento y que los términos del servicio se muestren claramente.
Paso 4: Pruebe el flujo de usuarios
Pruebe el flujo de autenticación tanto en dispositivos iOS como Android. El Asistente de Red Cautiva (CNA) de Apple y la sonda de red de Android se comportan de manera diferente. Verifique que la página de bienvenida cargue en menos de 10 segundos y que el dispositivo obtenga acceso a internet inmediatamente después de la autenticación.
Mejores prácticas
- Intercepción de HTTPS: Asegúrese de que su router gestione la intercepción de HTTPS correctamente. Los dispositivos modernos utilizan HTTPS de forma predeterminada. Si el router no puede redireccionar las solicitudes HTTPS de manera limpia, los invitados experimentarán errores de certificado antes de llegar al portal.
- Mantenimiento de sesión (Keepalive): La constelación de órbita terrestre baja (LEO) de Starlink ofrece latencias de 20 a 40 milisegundos, pero ocurren picos breves durante las transferencias de satélite. Establezca el intervalo de mantenimiento de sesión del Captive Portal en 60 segundos o menos para evitar desconexiones prematuras.
- Almacenamiento en caché sin conexión: Configure su router para almacenar en caché las sesiones activas de forma local. Si la conexión de Starlink se cae temporalmente, los invitados que ya estén autenticados seguirán en línea cuando se restablezca la conectividad, en lugar de verse obligados a iniciar sesión de nuevo.
Resolución de problemas y mitigación de riesgos
| Modo de fallo | Causa raíz | Mitigación |
|---|---|---|
| El Captive Portal no carga | Configuración incorrecta del walled garden | Verifique que todos los dominios de Purple requeridos y los endpoints de la CDN estén agregados a la lista de permitidos previa a la autenticación en el router. |
| Errores de doble NAT | El Bypass Mode está desactivado | Revise la aplicación Starlink para confirmar que el Bypass Mode esté activo. Las fluctuaciones de energía o los reinicios manuales pueden haber revertido la antena a la configuración predeterminada. |
| Velocidades lentas para invitados | Ancho de banda sin restricciones | Aplique límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps) y bloquee aplicaciones de alto consumo de ancho de banda como BitTorrent en el firewall. |
| Fallo en la auditoría de seguridad | El enrutamiento inter-VLAN está habilitado | Audite las reglas del firewall para asegurarse de que el tráfico de la VLAN de invitados no pueda enrutarse a la VLAN de personal o de administración. |
ROI e impacto comercial
Implementar un Captive Portal gestionado en Starlink transforma una conexión a internet básica en un activo comercial medible.
Para un barco de crucero de 120 camarotes que opera Starlink Maritime a 220 Mbps, el acceso directo no genera ningún retorno comercial. Al implementar puntos de acceso Cisco Meraki y el Captive Portal de Purple, el operador puede aplicar un límite diario de 2 GB para pasajeros estándar mientras ofrece un plan premium de 10 GB. Los ingresos resultantes del WiFi cubren el costo de la suscripción mensual de Starlink de más de $250 USD. Además, el portal recopila datos de correo electrónico de primera mano que cumplen totalmente con las normativas, expandiendo la lista de marketing directo del operador para futuros viajes.En el entorno de un hotel remoto, implementar un portal con políticas estrictas de ancho de banda reduce las quejas de los huéspedes sobre el WiFi lento hasta en un 60%, ya que se evita que los usuarios de alto consumo monopolicen el enlace satelital.
Definiciones clave
Bypass Mode
Un ajuste de configuración que desactiva las funciones de DHCP y NAT del router nativo de Starlink, pasando la IP WAN directamente a un router empresarial de terceros.
Obligatorio al integrar equipos de red empresariales con una antena Starlink para evitar el doble NAT y conflictos de enrutamiento.
CGNAT (Carrier Grade NAT)
Un método utilizado por los ISP para compartir una única dirección IP pública entre varios clientes. El router del cliente recibe una dirección IP privada (normalmente 100.64.0.0/10).
Starlink utiliza CGNAT de forma predeterminada, lo que impide las conexiones entrantes desde internet y requiere arquitecturas de túnel inverso para la administración en la nube.
VLAN (Virtual Local Area Network)
Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas.
Se utiliza para aislar el tráfico de WiFi de invitados de las redes del personal y de IoT, garantizando la seguridad y el cumplimiento normativo.
Captive Portal
Una página web que un usuario de una red de acceso público está obligado a ver y con la que debe interactuar antes de que se le conceda el acceso.
Se utiliza para aplicar los términos de servicio, recopilar datos de marketing y autenticar a los usuarios en las redes WiFi de invitados.
Walled Garden
Un entorno limitado que controla el acceso del usuario a los contenidos y servicios web antes de que se haya autenticado por completo.
Obligatorio para permitir que los dispositivos de los invitados lleguen al captive portal en la nube y a los servidores de autenticación antes de que se les conceda acceso total a internet.
RADIUS
Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan y utilizan un servicio de red.
El protocolo subyacente utilizado por los puntos de acceso empresariales para comunicarse con el captive portal en la nube para verificar las credenciales de los usuarios.
Traffic Shaping
La manipulación y priorización del tráfico de red para reducir el impacto de los usuarios de alto consumo o de las aplicaciones sensibles a la latencia.
Esencial en las redes de Starlink para priorizar la navegación web sobre las actividades de gran ancho de banda como la transmisión de video.
Datos de origen
Información que una empresa recopila directamente de sus clientes y de la cual es propietaria.
Capturados mediante el proceso de inicio de sesión del Captive Portal (por ejemplo, direcciones de correo electrónico) y utilizados para campañas de marketing directo y de fidelización.
Ejemplos resueltos
Un buque de crucero de 120 cabinas que opera Starlink Maritime a 220 Mbps necesita proporcionar WiFi para pasajeros sin degradar las operaciones del barco. Requieren un mecanismo para monetizar la conexión y recopilar datos de marketing.
El operador despliega puntos de acceso Cisco Meraki en todo el barco con tres VLAN estrictas: tripulación, pasajeros y sistemas del barco. El captive portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda de número de cabina integrada con el PMS. Cada pasajero recibe un límite diario de 2 GB. Los pasajeros de categoría premium pueden comprar una asignación de 10 GB. El portal recopila datos de correo electrónico de origen para el marketing posterior al viaje.
Un hotel de montaña remoto sin infraestructura de fibra opera Starlink Business a 150 Mbps. Los huéspedes se quejan con frecuencia de las velocidades lentas durante la noche, y el hotel no tiene visibilidad de quién está utilizando la red.
El hotel despliega puntos de acceso HPE Aruba en el edificio principal y en las dependencias externas. Configuran la antena Starlink en Bypass Mode y la conectan a una puerta de enlace Aruba. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel aplica un límite estricto de ancho de banda de 5 Mbps por dispositivo y utiliza las herramientas analíticas de Purple para monitorear las horas de mayor uso.
Preguntas de práctica
Q1. Un campamento minero remoto ha implementado Starlink Business. Han conectado un firewall Cisco Meraki MX al router de Starlink. Los huéspedes pueden conectarse al WiFi, pero la página del Captive Portal se agota el tiempo de espera y no se carga. ¿Cuál es la causa más probable?
Sugerencia: Considere cómo el hardware de Starlink gestiona el enrutamiento de forma predeterminada y qué requiere el firewall de Meraki para administrar el tráfico de manera efectiva.
Ver respuesta modelo
La antena de Starlink no se ha configurado en Bypass Mode. Como resultado, la red sufre de doble NAT (tanto el router de Starlink como el firewall de Meraki intentan realizar la traducción de direcciones de red). El administrador debe usar la aplicación de Starlink para habilitar Bypass Mode, lo que permitirá que el firewall de Meraki reciba la IP de CGNAT directamente y administre el enrutamiento y la intercepción del Captive Portal.
Q2. Está implementando un Captive Portal para un hotel que utiliza Starlink. Ha configurado Bypass Mode y segmentación VLAN. Durante las pruebas, nota que los dispositivos Apple solicitan al usuario iniciar sesión de inmediato, pero algunos dispositivos Android muestran un error de certificado cuando el usuario intenta navegar a un sitio web seguro antes de autenticarse. ¿Cómo resuelve esto?
Sugerencia: Piense en cómo los navegadores modernos gestionan las solicitudes de conexión iniciales y qué debe hacer el router para interceptarlas de forma limpia.
Ver respuesta modelo
El router empresarial no está configurado para manejar la intercepción HTTPS de manera correcta para la redirección del Captive Portal. Los navegadores modernos usan HTTPS de forma predeterminada. Cuando el usuario intenta visitar un sitio HTTPS antes de autenticarse, el router intercepta el tráfico y presenta su propio certificado, el cual el navegador rechaza por no ser válido. Debe asegurarse de que la configuración del Captive Portal del router esté establecida para utilizar un certificado SSL válido para la redirección, o bien confiar en las sondas de red a nivel de sistema operativo (como el CNA de Apple) que utilizan endpoints HTTP para activar el portal automáticamente.
Q3. Un operador marítimo se queja de que su conexión de Starlink Maritime (220 Mbps) se vuelve inutilizable todas las noches. Actualmente ofrecen una red de invitados abierta y sin contraseña. ¿Qué tres configuraciones específicas debería implementar en el router empresarial y en el Captive Portal para resolver esto?
Sugerencia: Enfóquese en controlar cuántos datos pueden consumir los usuarios individuales y en priorizar los tipos de tráfico críticos.
Ver respuesta modelo
- Implementar un Captive Portal que requiera autenticación para rastrear y administrar a los usuarios individuales. 2. Aplicar límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps de bajada / 2 Mbps de subida) para evitar que un solo usuario monopolice la conexión. 3. Aplicar reglas de conformación de tráfico (traffic shaping) en el firewall para priorizar la navegación web y los protocolos de mensajería, mientras se limita o bloquea el uso de aplicaciones de alto ancho de banda como la transmisión de video y el intercambio de archivos P2P.
Continúe leyendo esta serie
Captive Portal para Ruijie: configúralo con Purple guest WiFi
Cómo la plataforma de guest WiFi en la nube de Purple se integra sobre los puntos de acceso Ruijie RG Series mediante autenticación web y RADIUS, configurada desde la línea de comandos, y dónde encontrar los pasos exactos de configuración.
Diseño de Captive Portals B2B: Recopilación de Nombres Registrados y Datos de la Empresa
Esta guía proporciona a los directores de TI y operadores de recintos un marco técnico neutral del proveedor para diseñar Captive Portals B2B. Detalla cómo estructurar los campos de registro para capturar el nombre registrado y los datos de la empresa, garantizando altas tasas de finalización al tiempo que se mantiene el cumplimiento de GDPR y se crea inteligencia a nivel de cuenta.
Captive Portal Architecture: Security, Redirection, and Best Practices
Una referencia técnica definitiva sobre la arquitectura de Captive Portal empresarial. Esta guía detalla el aislamiento de red, la redirección de DNS, la autenticación RADIUS y el cumplimiento de seguridad para los líderes de TI que implementan redes WiFi de invitados seguras y enriquecidas con datos.