Cómo configurar un Captive Portal en Starlink: Una guía para ubicaciones remotas y marítimas

Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor senior informando a un cliente. Ritmo pausado, articulación clara, cálido pero profesional. Sin muletillas. Pausas breves ocasionales para dar énfasis: Bienvenido al Purple Technical Briefing. Le guiaré a través de todo lo que necesita saber sobre la configuración de un Captive Portal en Starlink, específicamente para ubicaciones remotas, operadores marítimos y cualquiera que ofrezca WiFi para invitados donde la fibra simplemente no es una opción. [pausa media] Comencemos con el problema. Starlink realmente ha cambiado el panorama de la conectividad para los lugares que antes estaban limitados a enlaces satelitales lentos y costosos o a conexiones 4G inestables. Un barco de crucero, un hotel remoto en las Tierras Altas, una unidad de bienestar en un sitio de construcción, el sitio de un festival en un campo; todos ellos ahora pueden obtener de 100 a 220 megabits por segundo con una antena del tamaño de una pizza grande. Eso es extraordinario. Pero aquí está el detalle: la conectividad bruta es solo la mitad del trabajo. En el momento en que pone esa conexión a disposición de los invitados, pasajeros o tripulación, necesita autenticación, control de acceso, consentimiento conforme a GDPR y gestión de ancho de banda. Starlink no ofrece nada de eso de forma nativa. Ahí es donde entra en juego un Captive Portal. Y eso es lo que vamos a construir hoy. [pausa media] Sección uno: comprender las restricciones de la red de Starlink. Antes de tocar un router, debe comprender qué le ofrece realmente Starlink en la interfaz WAN. La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. Por defecto, se encuentra detrás de un NAT de grado de operador, lo que los ingenieros llaman CGNAT. Eso significa que su dirección IP de WAN está en el rango de 100.64 a 100.127. No es una IP pública. No puede recibir conexiones entrantes desde internet. Y eso es sumamente importante para la arquitectura del Captive Portal. La solución es el Bypass Mode, a veces llamado modo puente. Esto se habilita en la aplicación de Starlink en Configuración, luego active "Bypass Starlink WiFi router". Una vez habilitado, la antena de Starlink pasa la dirección de CGNAT directamente al puerto WAN de su router empresarial. El router de Starlink deja de realizar DHCP y NAT. Su router toma el control. Sigue estando detrás de CGNAT, pero ahora tiene el control total de la capa de enrutamiento. Un punto crítico: si la antena de Starlink se restablece de fábrica por cualquier motivo, el Bypass Mode se desactiva. Deberá volver a habilitarlo. Incorpore eso en su manual de procedimientos del sitio. [pausa media] Ahora, Starlink ofrece tres niveles de planes relevantes para los operadores de establecimientos. Standard le ofrece hasta 100 megabits de bajada, prioridad de mejor esfuerzo y sin opción de IP estática. Business le ofrece hasta 220 megabits, asignación de datos prioritarios y un complemento de IP estática. Maritime le ofrece las mismas velocidades con portabilidad global, esencial si el barco se desplaza entre regiones oceánicas. Para cualquier lugar multiusuario, recomendaría Business o Maritime como mínimo. Los datos de mejor esfuerzo en el plan Standard significan que sus invitados perderán prioridad cada vez que la celda satelital esté congestionada. [pausa media] Sección dos: la pila de arquitectura. Esta es la pila de cuatro capas que está construyendo. La capa uno es el enlace ascendente de Starlink en Bypass Mode. La capa dos es su router o firewall empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet); cualquiera de estos funciona. La capa tres es la segmentación de VLAN a nivel de switch o punto de acceso. La capa cuatro es el Captive Portal en la nube, que gestiona la autenticación, el consentimiento y las analíticas. Permítame detenerme un momento en la segmentación de VLAN porque no es negociable. Necesita como mínimo tres VLAN. VLAN 10 para el personal: esta transporta sus sistemas POS, aplicaciones de back-office y tráfico de gestión. VLAN 20 para invitados: este es el segmento de solo internet que llega al Captive Portal. VLAN 30 para IoT: cámaras, termostatos inteligentes, sistemas de gestión de edificios. Estas tres redes no deben poder comunicarse entre sí. El enrutamiento inter-VLAN debe bloquearse en el firewall. Un invitado en la VLAN 20 nunca debe poder llegar a su terminal POS en la VLAN 10. Eso no es solo una buena práctica, es un requisito de PCI DSS si procesa pagos con tarjeta en cualquier parte de la misma infraestructura física. [pausa media] El Captive Portal en sí se aloja en la nube. Cuando un invitado se conecta al SSID de invitados y abre un navegador, el router intercepta la solicitud HTTP y la redirige a la página de inicio de sesión del portal. El invitado se autentica (a través de correo electrónico, inicio de sesión social o un código de cupón), acepta sus términos de servicio y el portal indica al router que conceda acceso a internet a esa dirección MAC. Todo el flujo debería completarse en menos de 10 segundos en un dispositivo móvil. Con Purple, ese portal en la nube se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Configura la integración de RADIUS o API una vez, y Purple se encarga del saludo de autenticación. No se requiere un servidor de autenticación local. Esto es fundamental para ubicaciones remotas donde no se puede ejecutar un servidor RADIUS local. [pausa media] Sección tres: el problema de CGNAT y cómo resolverlo. Este es el desafío que suele tomar por sorpresa a la mayoría de los equipos de TI. Las arquitecturas estándar de Captive Portal asumen que el portal en la nube puede comunicarse de vuelta con su red. Con CGNAT, eso es imposible. Las conexiones entrantes están bloqueadas. La solución es una arquitectura de túnel inverso. Su router establece una conexión saliente con el portal en la nube y la mantiene abierta de forma persistente. Todo el tráfico de autenticación fluye a través de ese túnel. La nube nunca necesita iniciar una conexión entrante. La arquitectura de superposición en la nube de Purple maneja esto de forma nativa; no necesita configurar túneles WireGuard o OpenVPN manualmente, aunque ambas son alternativas válidas si gestiona su propia infraestructura. Si necesita una IP estática (por ejemplo, si tiene un servidor RADIUS local o requiere una lista de permitidos de IP consistente), los planes Starlink Business y Maritime ofrecen una IP estática como complemento de pago. Al momento de esta grabación, esto está disponible en la mayoría de las regiones. Consulte las páginas de planes actuales de Starlink para su territorio específico. [pausa media] Sección cuatro: GDPR y cumplimiento de datos. Aquí es donde las ubicaciones remotas y marítimas a menudo cometen errores. El hecho de que su establecimiento esté en un barco en aguas internacionales, o en una ubicación remota, no lo exime de cumplir con el GDPR si recopila datos de residentes de la UE. Y si opera en aguas del Reino Unido después del Brexit, se aplica el GDPR del Reino Unido. Su Captive Portal debe presentar una casilla de verificación de consentimiento específica y sin marcar para comunicaciones de marketing. Debe indicar claramente qué datos está recopilando, por qué y cuánto tiempo los conservará. Los términos de servicio deben ser accesibles antes de que el invitado se autentique. Y debe poder demostrar, bajo solicitud, que una persona específica dio su consentimiento en una fecha y hora específicas. Purple cuenta con la certificación ISO 27001, cumple con GDPR, CCPA y cuenta con la certificación Cyber Essentials. Cada evento de inicio de sesión se registra con una marca de tiempo, dirección IP y registro de consentimiento. Ese historial de auditoría es lo que lo protege si un regulador hace preguntas. [pausa media] Sección cinco: gestión de ancho de banda. En Starlink, el ancho de banda es su recurso más limitado. Un solo pasajero que transmita video en 4K puede consumir 25 megabits por segundo de forma continua. En un barco con 50 pasajeros y una conexión de 220 megabits, eso representa una sola persona consumiendo el 11% de la capacidad total. Debe abordar esto a nivel de Captive Portal y del router. Establezca límites de ancho de banda por dispositivo; por ejemplo, 5 megabits de bajada y 2 megabits de subida por dispositivo de invitado. Implemente políticas de uso justo que limiten la velocidad después de una asignación diaria de datos. Utilice el Traffic Shaping para priorizar la navegación web y la mensajería sobre la transmisión de video. Y considere el acceso por niveles: un nivel gratuito para conectividad básica y un nivel premium de pago para transmisión de video. Eso convierte su WiFi de un gasto a una fuente de ingresos. [pausa media] Ahora permítame presentarle dos escenarios del mundo real. Escenario uno: un barco de crucero de 120 cabinas. El operador utiliza Starlink Maritime a 220 megabits. Despliegan puntos de acceso Cisco Meraki por todo el barco con tres VLAN: tripulación, pasajeros y sistemas del barco. El Captive Portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda de número de cabina integrada con el PMS. Cada pasajero recibe una asignación diaria de 2 gigabytes. Los pasajeros de nivel premium obtienen 10 gigabytes. El portal recopila datos de correo electrónico de primera mano para marketing posterior al viaje. Resultado: los ingresos de WiFi cubren el costo de la suscripción de Starlink, y el operador cuenta con una lista de marketing directo en constante crecimiento. Escenario dos: un hotel remoto en las Tierras Altas sin fibra. Operan Starlink Business a un promedio de 150 megabits. Los puntos de acceso HPE Aruba cubren el edificio principal y tres anexos. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel utiliza las analíticas de Purple para comprender las horas de mayor uso y ajusta las políticas de ancho de banda en consecuencia. Han reducido las quejas sobre el WiFi de los huéspedes en un 60% en comparación con su configuración anterior de agregación de 4G, según sus propios datos operativos. [pausa media] Errores comunes. Permítame repasar los cinco que veo con más frecuencia. Uno: olvidar volver a habilitar el Bypass Mode después de restablecer la antena. Documente esto en su manual de procedimientos y configure una alerta de monitoreo en la interfaz WAN de su router. Dos: no bloquear el enrutamiento inter-VLAN. Cada despliegue que he revisado que tuvo un incidente de seguridad tenía esto mal configurado. Compruébelo dos veces. Tres: usar la redirección HTTP para el Captive Portal en una red donde los invitados utilizan navegadores que priorizan HTTPS. Los navegadores modernos usan HTTPS por defecto. Su router debe manejar la intercepción de HTTPS correctamente, o de lo contrario los invitados verán errores de certificado antes de llegar al portal. El portal de Purple maneja esto, pero la configuración de su router debe ser correcta. Cuatro: no realizar pruebas en iOS y Android por separado. El Captive Network Assistant de Apple y la sonda de red de Android se comportan de manera diferente. Pruebe ambos antes del lanzamiento. Cinco: ignorar la latencia. La constelación LEO de Starlink ofrece una latencia de 20 a 40 milisegundos, mucho mejor que el satélite geoestacionario tradicional. Pero durante las transiciones entre satélites, puede haber breves picos. La configuración del tiempo de espera de su Captive Portal debe tener esto en cuenta. Establezca intervalos de mantenimiento de sesión (keepalive) en 60 segundos o menos. [pausa media] Preguntas rápidas. ¿Necesito una IP estática para un Captive Portal en Starlink? No, si su portal utiliza una arquitectura alojada en la nube con túnel inverso. Sí, si utiliza un servidor RADIUS local. ¿Puedo ejecutar múltiples SSID en Starlink? Sí, sus puntos de acceso empresariales se encargan de la creación de SSID. Starlink en Bypass Mode solo proporciona el enlace ascendente. Puede ejecutar tantos SSID como admitan sus puntos de acceso. ¿Funciona Purple con Starlink de forma nativa? Sí. Configura el Bypass Mode en la antena de Starlink, conecta sus puntos de acceso compatibles y apunta la integración de RADIUS o API a la nube de Purple. El portal estará activo en menos de una hora. ¿Qué sucede si se cae la conexión de Starlink? El portal de Purple almacena en caché las sesiones activas localmente en el router durante un período configurable, normalmente 24 horas. Los invitados que ya están autenticados permanecen en línea. Las nuevas autenticaciones se ponen en cola hasta que se restablezca la conectividad. [pausa media] En resumen. Starlink le da la conexión. Su router empresarial en Bypass Mode le da el control de la capa de enrutamiento. La segmentación de VLAN aísla el tráfico de sus invitados, personal e IoT. Un Captive Portal en la nube (el de Purple, en este caso) gestiona la autenticación, el consentimiento de GDPR, la política de ancho de banda y la recopilación de datos de primera mano. La limitación de CGNAT se resuelve mediante una arquitectura de túnel inverso, no mediante una IP estática. Y la gestión del ancho de banda a nivel de portal es lo que mantiene su conexión de Starlink utilizable para todos. Si está evaluando esto para su establecimiento, el siguiente paso es verificar qué hardware de puntos de acceso está utilizando (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet) y confirmar la documentación de integración de Purple para esa plataforma. Puede encontrar la guía técnica completa en purple.ai, y el equipo de Purple puede guiarlo a través de una configuración de prueba de concepto para su sitio específico. Gracias por escuchar. Nos vemos en el próximo informe.