Saltar al contenido principal

Cómo configurar un Captive Portal en Starlink: Una guía para establecimientos remotos y marítimos

Esta guía detalla cómo eludir el hardware nativo de Starlink e integrar un captive portal administrado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá cómo superar la limitación de CGNAT, aplicar la segmentación de VLAN, administrar las restricciones de ancho de banda satelital y garantizar el cumplimiento normativo.

📖 5 min de lectura📝 1,227 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor senior informando a un cliente. Ritmo pausado, articulación clara, cálido pero profesional. Sin palabras de relleno. Pausas breves ocasionales para dar énfasis: Bienvenido a la sesión informativa técnica de Purple. Lo guiaré a través de todo lo que necesita saber para configurar un captive portal en Starlink, específicamente para ubicaciones remotas, operadores marítimos y cualquiera que ofrezca WiFi para invitados donde la fibra simplemente no es una opción. [pausa de duración media] Comencemos con el problema. Starlink realmente ha cambiado el panorama de la conectividad para los establecimientos que antes estaban limitados a enlaces satelitales lentos y costosos o a un 4G inestable. Un barco de cruceros, un hotel de montaña remoto, una unidad de bienestar en una obra en construcción, el sitio de un festival en un campo; todos ellos ahora pueden obtener de 100 a 220 megabits por segundo con una antena del tamaño de una pizza grande. Eso es extraordinario. Pero aquí está el detalle: la conectividad en bruto es solo la mitad del trabajo. En el momento en que pone esa conexión a disposición de invitados, pasajeros o tripulación, necesita autenticación, control de acceso, consentimiento que cumpla con el GDPR y gestión del ancho de banda. Starlink no ofrece nada de eso de forma nativa. Ahí es donde entra en juego un captive portal. Y eso es lo que vamos a construir hoy. [pausa de duración media] Sección uno: comprender las limitaciones de red de Starlink. Antes de tocar un router, debe comprender qué le ofrece realmente Starlink en la interfaz WAN. La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. Por defecto, se encuentra detrás de un NAT de nivel de operador, lo que los ingenieros llaman CGNAT. Eso significa que su dirección IP WAN está en el rango de 100.64 a 100.127. No es una IP pública. No puede recibir conexiones entrantes desde internet. Y eso es sumamente importante para la arquitectura de un captive portal. La solución es el bypass mode, a veces llamado bridge mode. Esto se activa en la aplicación de Starlink en Configuración, luego active "Omitir router WiFi de Starlink". Una vez activado, la antena de Starlink pasa la dirección CGNAT directamente al puerto WAN de su router empresarial. El router de Starlink deja de realizar DHCP y NAT. Su router toma el control. Sigue estando detrás de un CGNAT, pero ahora tiene el control total de la capa de enrutamiento. Un punto crítico: si la antena de Starlink se restablece a los valores de fábrica por cualquier motivo, el bypass mode se desactivará. Deberá volver a activarlo. Integre esto en el manual de procedimientos de su sitio. [pausa de duración media] Ahora bien, Starlink ofrece tres niveles de planes relevantes para los operadores de establecimientos. Standard le ofrece hasta 100 megabits de bajada, prioridad de mejor esfuerzo y sin opción de IP estática. Business le ofrece hasta 220 megabits, asignación de datos de prioridad y un complemento de IP estática. Maritime le ofrece las mismas velocidades con portabilidad global, algo esencial si la embarcación se desplaza entre regiones oceánicas. Para cualquier establecimiento multiusuario, recomendaría Business o Maritime como mínimo. Los datos de mejor esfuerzo en Standard significan que sus invitados perderán prioridad siempre que la celda satelital esté congestionada. [pausa de duración media] Sección dos: la pila de arquitectura. Aquí está la pila de cuatro capas que va a construir. La capa uno es el enlace ascendente de Starlink en modo bypass. La capa dos es su router o firewall empresarial - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - cualquiera de estos funciona. La capa tres es la segmentación de VLAN a nivel de switch o punto de acceso. La capa cuatro es el portal cautivo en la nube, que maneja la autenticación, el consentimiento y la analítica. Permítame dedicar un momento a la segmentación de VLAN porque no es negociable. Necesita como mínimo tres VLAN. VLAN 10 para el personal - esta transporta sus sistemas POS, aplicaciones de back-office y tráfico de gestión. VLAN 20 para invitados - este es el segmento exclusivo para internet que se conecta al portal cautivo. VLAN 30 para IoT - cámaras, termostatos inteligentes, sistemas de gestión de edificios. Estas tres redes no deben poder comunicarse entre sí. El enrutamiento inter-VLAN debe bloquearse en el firewall. Un invitado en la VLAN 20 nunca debe poder acceder a su terminal POS en la VLAN 10. Eso no es solo una buena práctica - es un requisito de PCI-DSS si procesa pagos con tarjeta en cualquier parte de la misma infraestructura física. [pausa media] El propio portal cautivo reside en la nube. Cuando un invitado se conecta a su SSID de invitados y abre un navegador, el router intercepta la solicitud HTTP y la redirige a la página de inicio de sesión del portal. El invitado se autentica - mediante correo electrónico, inicio de sesión social o un código de cupón - acepta sus términos de servicio, y el portal indica al router que conceda acceso a internet a esa dirección MAC. Todo el flujo debe completarse en menos de 10 segundos en un dispositivo móvil. Con Purple, ese portal en la nube se integra directamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Usted configura la integración de RADIUS o API una vez, y Purple se encarga del saludo de autenticación. No se requiere un servidor de autenticación local. Esto es fundamental para sitios remotos donde no se puede ejecutar un servidor RADIUS local. [pausa media] Sección tres: el problema de CGNAT y cómo solucionarlo. Aquí está el desafío que toma por sorpresa a la mayoría de los equipos de TI. Las arquitecturas de portal cautivo estándar asumen que el portal en la nube puede conectarse de vuelta a su red. Con CGNAT, eso es imposible. Las conexiones entrantes están bloqueadas. La solución es un túnel inverso. Su router establece una conexión saliente con el portal en la nube y la mantiene abierta de forma persistente. Todo el tráfico de autenticación fluye a través de ese túnel. La nube nunca necesita iniciar una conexión entrante. La arquitectura de superposición en la nube de Purple maneja esto de forma nativa - no necesita configurar WireGuard o OpenVPN manualmente, aunque ambos son alternativas válidas si ejecuta su propia infraestructura. Si realmente necesita una IP estática (por ejemplo, si está ejecutando un servidor RADIUS en el sitio o necesita un filtrado de IP consistente) Starlink Business y Maritime ofrecen una IP estática como un complemento. Al momento de la grabación, esto está disponible en la mayoría de las regiones. Revise las páginas de planes actuales de Starlink para su territorio específico. [medium pause] Sección cuatro: GDPR y cumplimiento de datos. Aquí es donde las sedes remotas y marítimas a menudo se ven atrapadas. El hecho de que su sede se encuentre en un barco en aguas internacionales, o en una ubicación remota, no lo exime del GDPR si está recopilando datos de residentes de la UE. Y si opera en aguas del Reino Unido después del Brexit, se aplica el UK GDPR. Su Captive Portal debe presentar una casilla de verificación de consentimiento específica y sin marcar para las comunicaciones de marketing. Debe indicar claramente qué datos recopila, por qué y cuánto tiempo los conservará. Los términos de servicio deben ser accesibles antes de que el invitado se autentique. Y debe ser capaz de demostrar, bajo solicitud, que una persona específica dio su consentimiento en una fecha y hora específicas. Purple cuenta con la certificación ISO 27001, cumple con GDPR, cumple con CCPA y tiene la certificación Cyber Essentials. Cada evento de inicio de sesión se registra con una marca de tiempo, dirección IP y registro de consentimiento. Ese historial de auditoría es lo que lo protege si un regulador hace preguntas. [medium pause] Sección cinco: administración de ancho de banda. En Starlink, el ancho de banda es su recurso más limitado. Un solo pasajero que transmita video en 4K puede consumir 25 megabits por segundo de forma continua. En una embarcación con 50 pasajeros y una conexión de 220 megabits, eso equivale a una sola persona que consume el 11% de la capacidad total. Esto se resuelve a nivel de Captive Portal y router. Establezca límites de ancho de banda por dispositivo; por ejemplo, 5 megabits de bajada y 2 megabits de subida por dispositivo invitado. Implemente políticas de uso justo que reduzcan la velocidad después de una cuota de datos diaria. Utilice el modelado de tráfico para priorizar la navegación web y la mensajería sobre la transmisión de video. Y considere el acceso escalonado: un nivel gratuito para conectividad básica y un nivel premium de pago para streaming. Eso convierte su WiFi de un costo a una fuente de ingresos. [medium pause] Ahora permítame presentarle dos escenarios del mundo real. Escenario uno: un crucero de 120 cabinas. El operador ejecuta Starlink Maritime a 220 megabits. Despliega puntos de acceso Cisco Meraki en toda la embarcación con tres VLAN: tripulación, pasajeros y sistemas del barco. El Captive Portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda por número de cabina integrada con el PMS. Cada pasajero recibe una asignación diaria de 2 gigabytes. Los pasajeros de nivel premium reciben 10 gigabytes. El portal recopila datos de correo electrónico de primera mano para marketing posterior al viaje. Resultado: los ingresos de WiFi cubren el costo de la suscripción de Starlink y el operador tiene una lista de marketing directo en constante crecimiento. Escenario dos: un hotel remoto en las Highlands sin fibra. Utilizan Starlink Business a un promedio de 150 megabits. Los puntos de acceso de HPE Aruba cubren el edificio principal y tres dependencias exteriores. Los huéspedes se autentican a través de correo electrónico en el portal de Purple. El hotel utiliza los análisis de Purple para comprender las horas de mayor uso y ajusta las políticas de ancho de banda en consecuencia. Han reducido las quejas sobre el WiFi para huéspedes en un 60% en comparación con su configuración anterior de enlace 4G, según sus propios datos operativos. [medium pause] Errores comunes. Permítanme repasar los cinco que veo con más frecuencia. Uno: olvidar volver a activar el modo bypass después de reiniciar la antena. Documente esto en su libro de tareas y configure una alerta de monitoreo en la interfaz WAN de su enrutador. Dos: no bloquear el enrutamiento inter-VLAN. Cada implementación que he revisado que tuvo un incidente de seguridad tenía esto mal configurado. Verifíquelo dos veces. Tres: utilizar el redireccionamiento HTTP para el Captive Portal en una red donde los huéspedes utilizan navegadores que priorizan HTTPS. Los navegadores modernos utilizan HTTPS de forma predeterminada. Su enrutador debe gestionar la intercepción HTTPS correctamente, o de lo contrario los huéspedes verán errores de certificado antes de llegar al portal. El portal de Purple maneja esto, pero la configuración de su enrutador debe ser correcta. Cuatro: no realizar pruebas en iOS y Android por separado. El Captive Network Assistant de Apple y la sonda de red de Android se comportan de forma diferente. Pruebe ambos antes del lanzamiento. Cinco: ignorar la latencia. La constelación LEO de Starlink ofrece una latencia de 20 a 40 milisegundos - muy superior a la del satélite geoestacionario tradicional. Pero durante los traspasos entre satélites, se pueden observar picos breves. La configuración del tiempo de espera de su Captive Portal debe tener esto en cuenta. Establezca los intervalos de mantenimiento de sesión (keepalive) en 60 segundos o menos. [medium pause] Preguntas rápidas. ¿Necesito una IP estática para un Captive Portal en Starlink? No, si su portal utiliza una arquitectura alojada en la nube con tunelización inversa. Sí, si está ejecutando un RADIUS local. ¿Puedo ejecutar múltiples SSIDs en Starlink? Sí - sus puntos de acceso empresariales gestionan la creación de SSIDs. Starlink en modo bypass sólo proporciona el enlace de subida. Puede ejecutar tantos SSIDs como admitan sus puntos de acceso. ¿Funciona Purple con Starlink de forma nativa? Sí. Configure el modo bypass en la antena de Starlink, conecte sus puntos de acceso compatibles y apunte la integración RADIUS o API a la nube de Purple. El portal estará activo en menos de una hora. ¿Qué pasa si se cae la conexión de Starlink? El portal de Purple almacena en caché las sesiones activas localmente en el enrutador durante un periodo configurable - normalmente 24 horas. Los huéspedes que ya están autenticados permanecen conectados. Las nuevas autenticaciones se ponen en cola hasta que se restablece la conectividad. [medium pause] En resumen, Starlink le proporciona el canal de datos. Su router empresarial en modo bypass le otorga el control de la capa de enrutamiento. La segmentación de VLAN aísla el tráfico de sus invitados, personal e IoT. Un Captive Portal en la nube - en este caso, el de Purple - gestiona la autenticación, el consentimiento de GDPR, las políticas de ancho de banda y la recopilación de datos de primera mano. La limitación de CGNAT se soluciona mediante una arquitectura de túnel inverso, no con una IP estática. Y la gestión del ancho de banda a nivel de portal es lo que mantiene su conexión de Starlink utilizable para todos. Si está evaluando esto para su recinto, el siguiente paso es comprobar qué hardware de punto de acceso está utilizando - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet - y confirmar la documentación de integración de Purple para esa plataforma. Puede encontrar la guía técnica completa en purple.ai, y el equipo de Purple puede guiarle a través de una configuración de prueba de concepto para su sitio específico. Gracias por escuchar. Nos vemos en el próximo informe.

header_image.png

Resumen ejecutivo

Starlink proporciona conectividad de 220 Mbps en ubicaciones donde la fibra no puede llegar, cambiando por completo el panorama de las redes para lugares remotos y marítimos. Sin embargo, para entornos de cara al público, la conectividad por sí sola no es suficiente. Al implementar Starlink para huéspedes, pasajeros o tripulación, se debe implementar autenticación, control de acceso, consentimiento que cumpla con GDPR y administración de ancho de banda. El router nativo de Starlink no proporciona ninguna de estas capacidades.

Esta guía explica detalladamente cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresarial. Aprenderá a superar las limitaciones de Carrier Grade NAT (CGNAT), implementar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Al implementar esta arquitectura, los operadores de establecimientos transforman un canal de internet no gestionado en una red segura y segmentada que captura datos de primera mano y protege la infraestructura empresarial principal.

Análisis técnico profundo

La limitación de CGNAT

El principal obstáculo técnico al implementar un Captive Portal en Starlink es Carrier Grade NAT (CGNAT). La antena estándar de Starlink se conecta a un router propietario que gestiona DHCP y NAT. Por defecto, la dirección IP WAN asignada a su equipo se encuentra dentro del rango 100.64.0.0/10. Dado que esta no es una dirección IP pública, su router no puede recibir conexiones entrantes desde internet.

Las arquitecturas estándar de Captive Portal a menudo asumen que el portal en la nube puede conectarse de vuelta a su red para autenticar usuarios o actualizar las listas de control de acceso. Con CGNAT, las conexiones entrantes fallan.

Para resolver esto, debe configurar la antena de Starlink en Bypass Mode (a menudo denominado modo puente). En Bypass Mode, las funciones del router de Starlink se desactivan y la antena envía la dirección CGNAT directamente al puerto WAN de su router empresarial. Su router empresarial toma entonces el control total de la capa de enrutamiento.

architecture_overview.png

Arquitectura de túnel inverso

Incluso con el router empresarial gestionando el tráfico, la restricción de entrada de CGNAT permanece. La solución es una arquitectura de túnel inverso. Su router establece una conexión saliente hacia el portal en la nube y la mantiene de forma continua. Todo el tráfico de autenticación fluye a través de este túnel establecido. La infraestructura de la nube nunca necesita iniciar una conexión entrante.

La arquitectura superpuesta en la nube de Purple maneja esto de forma nativa. No es necesario configurar túneles VPN manuales. Si su despliegue requiere una IP estática para servidores RADIUS locales heredados o una lista de permisos de IP estricta, los planes Starlink Business y Maritime proporcionan una IP estática como un complemento de pago.

Limitaciones de ancho de banda y control de tráfico

El ancho de banda satelital es un recurso compartido y finito. Un solo usuario que reproduzca video en 4K puede consumir continuamente 25 Mbps. En una embarcación con 50 pasajeros que comparten una conexión Starlink de 220 Mbps, un solo usuario podría consumir el 11% de la capacidad total.

Debe solucionar esto a nivel de Captive Portal y router mediante un control de tráfico estricto:

  • Límites por dispositivo: Restrinja los dispositivos de invitados individuales a 5 Mbps de descarga y 2 Mbps de subida.
  • Políticas de uso justo: Aplique asignaciones de datos diarias (por ejemplo, 2 GB por cada 24 horas).
  • Control de aplicaciones: Priorice la navegación web y los protocolos de mensajería sobre la transmisión de video y el intercambio de archivos de igual a igual.
  • Acceso por niveles: Ofrezca un nivel gratuito para conectividad básica y un nivel premium de pago para streaming, transformando la infraestructura de WiFi de un centro de costos en una fuente de ingresos.

comparison_chart.png

Guía de implementación

Siga estos pasos para implementar un Captive Portal seguro en Starlink utilizando hardware empresarial.

Paso 1: Activar el Modo Bypass

  1. Instale el hardware de Starlink y verifique la conectividad utilizando el router original.
  2. Abra la aplicación móvil de Starlink y vaya a Configuración.
  3. Seleccione y confirme Omitir el router WiFi de Starlink.
  4. Conecte el adaptador Ethernet de Starlink al puerto WAN de su router empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet).

Nota: Si la antena de Starlink se somete a un restablecimiento de fábrica, el Modo Bypass se desactiva automáticamente. Documente esto en su manual de procedimientos del sitio y configure una alerta de monitoreo en la interfaz WAN de su router.

Paso 2: Configurar la segmentación de VLAN

Debe aislar el tráfico de invitados de sus sistemas comerciales principales. Configure al menos tres VLAN en su switch principal y puntos de acceso:

  • VLAN 10 (Personal): Transporta sistemas de punto de venta (POS), aplicaciones administrativas y tráfico de gestión.
  • VLAN 20 (Invitados): Segmento de solo internet que redirige al Captive Portal.
  • VLAN 30 (IoT): Red aislada para cámaras, termostatos inteligentes y sistemas de gestión de edificios.

Configure reglas de firewall para bloquear todo el enrutamiento entre VLAN. Un dispositivo de invitado en la VLAN 20 nunca debe poder hacer ping a una terminal de punto de venta (POS) en la VLAN 10. Esta segmentación es un requisito estricto para el cumplimiento de PCI-DSS.

Paso 3: Implementar el Captive Portal en la nube

  1. Configure sus puntos de acceso para transmitir el SSID de invitados en la VLAN 20.
  2. Establezca el método de autenticación en RADIUS externo o utilice la integración API del proveedor.3. Apunte el servidor de autenticación a la infraestructura en la nube de Purple.
  3. Configure el walled garden (lista de permitidos) para autorizar el tráfico a los dominios de Purple antes de que se complete la autenticación.
  4. Diseñe la página de bienvenida en el portal de Purple, asegurándose de que la identidad de marca coincida con su establecimiento y que los términos del servicio se muestren claramente.

Paso 4: Pruebe el flujo de usuarios

Pruebe el flujo de autenticación tanto en dispositivos iOS como Android. El Asistente de Red Cautiva (CNA) de Apple y la sonda de red de Android se comportan de manera diferente. Verifique que la página de bienvenida cargue en menos de 10 segundos y que el dispositivo obtenga acceso a internet inmediatamente después de la autenticación.

Mejores prácticas

  • Intercepción de HTTPS: Asegúrese de que su router gestione la intercepción de HTTPS correctamente. Los dispositivos modernos utilizan HTTPS de forma predeterminada. Si el router no puede redireccionar las solicitudes HTTPS de manera limpia, los invitados experimentarán errores de certificado antes de llegar al portal.
  • Mantenimiento de sesión (Keepalive): La constelación de órbita terrestre baja (LEO) de Starlink ofrece latencias de 20 a 40 milisegundos, pero ocurren picos breves durante las transferencias de satélite. Establezca el intervalo de mantenimiento de sesión del Captive Portal en 60 segundos o menos para evitar desconexiones prematuras.
  • Almacenamiento en caché sin conexión: Configure su router para almacenar en caché las sesiones activas de forma local. Si la conexión de Starlink se cae temporalmente, los invitados que ya estén autenticados seguirán en línea cuando se restablezca la conectividad, en lugar de verse obligados a iniciar sesión de nuevo.

Resolución de problemas y mitigación de riesgos

Modo de fallo Causa raíz Mitigación
El Captive Portal no carga Configuración incorrecta del walled garden Verifique que todos los dominios de Purple requeridos y los endpoints de la CDN estén agregados a la lista de permitidos previa a la autenticación en el router.
Errores de doble NAT El Bypass Mode está desactivado Revise la aplicación Starlink para confirmar que el Bypass Mode esté activo. Las fluctuaciones de energía o los reinicios manuales pueden haber revertido la antena a la configuración predeterminada.
Velocidades lentas para invitados Ancho de banda sin restricciones Aplique límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps) y bloquee aplicaciones de alto consumo de ancho de banda como BitTorrent en el firewall.
Fallo en la auditoría de seguridad El enrutamiento inter-VLAN está habilitado Audite las reglas del firewall para asegurarse de que el tráfico de la VLAN de invitados no pueda enrutarse a la VLAN de personal o de administración.

ROI e impacto comercial

Implementar un Captive Portal gestionado en Starlink transforma una conexión a internet básica en un activo comercial medible.

Para un barco de crucero de 120 camarotes que opera Starlink Maritime a 220 Mbps, el acceso directo no genera ningún retorno comercial. Al implementar puntos de acceso Cisco Meraki y el Captive Portal de Purple, el operador puede aplicar un límite diario de 2 GB para pasajeros estándar mientras ofrece un plan premium de 10 GB. Los ingresos resultantes del WiFi cubren el costo de la suscripción mensual de Starlink de más de $250 USD. Además, el portal recopila datos de correo electrónico de primera mano que cumplen totalmente con las normativas, expandiendo la lista de marketing directo del operador para futuros viajes.En el entorno de un hotel remoto, implementar un portal con políticas estrictas de ancho de banda reduce las quejas de los huéspedes sobre el WiFi lento hasta en un 60%, ya que se evita que los usuarios de alto consumo monopolicen el enlace satelital.

Definiciones clave

Bypass Mode

Un ajuste de configuración que desactiva las funciones de DHCP y NAT del router nativo de Starlink, pasando la IP WAN directamente a un router empresarial de terceros.

Obligatorio al integrar equipos de red empresariales con una antena Starlink para evitar el doble NAT y conflictos de enrutamiento.

CGNAT (Carrier Grade NAT)

Un método utilizado por los ISP para compartir una única dirección IP pública entre varios clientes. El router del cliente recibe una dirección IP privada (normalmente 100.64.0.0/10).

Starlink utiliza CGNAT de forma predeterminada, lo que impide las conexiones entrantes desde internet y requiere arquitecturas de túnel inverso para la administración en la nube.

VLAN (Virtual Local Area Network)

Una subred lógica que agrupa una colección de dispositivos de diferentes LAN físicas.

Se utiliza para aislar el tráfico de WiFi de invitados de las redes del personal y de IoT, garantizando la seguridad y el cumplimiento normativo.

Captive Portal

Una página web que un usuario de una red de acceso público está obligado a ver y con la que debe interactuar antes de que se le conceda el acceso.

Se utiliza para aplicar los términos de servicio, recopilar datos de marketing y autenticar a los usuarios en las redes WiFi de invitados.

Walled Garden

Un entorno limitado que controla el acceso del usuario a los contenidos y servicios web antes de que se haya autenticado por completo.

Obligatorio para permitir que los dispositivos de los invitados lleguen al captive portal en la nube y a los servidores de autenticación antes de que se les conceda acceso total a internet.

RADIUS

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad para los usuarios que se conectan y utilizan un servicio de red.

El protocolo subyacente utilizado por los puntos de acceso empresariales para comunicarse con el captive portal en la nube para verificar las credenciales de los usuarios.

Traffic Shaping

La manipulación y priorización del tráfico de red para reducir el impacto de los usuarios de alto consumo o de las aplicaciones sensibles a la latencia.

Esencial en las redes de Starlink para priorizar la navegación web sobre las actividades de gran ancho de banda como la transmisión de video.

Datos de origen

Información que una empresa recopila directamente de sus clientes y de la cual es propietaria.

Capturados mediante el proceso de inicio de sesión del Captive Portal (por ejemplo, direcciones de correo electrónico) y utilizados para campañas de marketing directo y de fidelización.

Ejemplos resueltos

Un buque de crucero de 120 cabinas que opera Starlink Maritime a 220 Mbps necesita proporcionar WiFi para pasajeros sin degradar las operaciones del barco. Requieren un mecanismo para monetizar la conexión y recopilar datos de marketing.

El operador despliega puntos de acceso Cisco Meraki en todo el barco con tres VLAN estrictas: tripulación, pasajeros y sistemas del barco. El captive portal de Purple gestiona la autenticación de los pasajeros mediante correo electrónico o una búsqueda de número de cabina integrada con el PMS. Cada pasajero recibe un límite diario de 2 GB. Los pasajeros de categoría premium pueden comprar una asignación de 10 GB. El portal recopila datos de correo electrónico de origen para el marketing posterior al viaje.

Comentario del examinador: Este enfoque resuelve la restricción de ancho de banda mediante límites diarios estrictos, al tiempo que genera ingresos directos. La segmentación de VLAN garantiza que el tráfico de pasajeros no pueda comprometer los sistemas críticos del barco. La integración con el PMS proporciona una experiencia de inicio de sesión sin fricciones.

Un hotel de montaña remoto sin infraestructura de fibra opera Starlink Business a 150 Mbps. Los huéspedes se quejan con frecuencia de las velocidades lentas durante la noche, y el hotel no tiene visibilidad de quién está utilizando la red.

El hotel despliega puntos de acceso HPE Aruba en el edificio principal y en las dependencias externas. Configuran la antena Starlink en Bypass Mode y la conectan a una puerta de enlace Aruba. Los huéspedes se autentican por correo electrónico en el portal de Purple. El hotel aplica un límite estricto de ancho de banda de 5 Mbps por dispositivo y utiliza las herramientas analíticas de Purple para monitorear las horas de mayor uso.

Comentario del examinador: Al implementar la limitación por dispositivo, el hotel evita que los huéspedes individuales monopolicen el enlace de 150 Mbps durante las horas pico de la noche. La autenticación por correo electrónico captura datos de origen para futuras campañas de reserva directa, lo que reduce la dependencia de las OTA.

Preguntas de práctica

Q1. Un campamento minero remoto ha implementado Starlink Business. Han conectado un firewall Cisco Meraki MX al router de Starlink. Los huéspedes pueden conectarse al WiFi, pero la página del Captive Portal se agota el tiempo de espera y no se carga. ¿Cuál es la causa más probable?

Sugerencia: Considere cómo el hardware de Starlink gestiona el enrutamiento de forma predeterminada y qué requiere el firewall de Meraki para administrar el tráfico de manera efectiva.

Ver respuesta modelo

La antena de Starlink no se ha configurado en Bypass Mode. Como resultado, la red sufre de doble NAT (tanto el router de Starlink como el firewall de Meraki intentan realizar la traducción de direcciones de red). El administrador debe usar la aplicación de Starlink para habilitar Bypass Mode, lo que permitirá que el firewall de Meraki reciba la IP de CGNAT directamente y administre el enrutamiento y la intercepción del Captive Portal.

Q2. Está implementando un Captive Portal para un hotel que utiliza Starlink. Ha configurado Bypass Mode y segmentación VLAN. Durante las pruebas, nota que los dispositivos Apple solicitan al usuario iniciar sesión de inmediato, pero algunos dispositivos Android muestran un error de certificado cuando el usuario intenta navegar a un sitio web seguro antes de autenticarse. ¿Cómo resuelve esto?

Sugerencia: Piense en cómo los navegadores modernos gestionan las solicitudes de conexión iniciales y qué debe hacer el router para interceptarlas de forma limpia.

Ver respuesta modelo

El router empresarial no está configurado para manejar la intercepción HTTPS de manera correcta para la redirección del Captive Portal. Los navegadores modernos usan HTTPS de forma predeterminada. Cuando el usuario intenta visitar un sitio HTTPS antes de autenticarse, el router intercepta el tráfico y presenta su propio certificado, el cual el navegador rechaza por no ser válido. Debe asegurarse de que la configuración del Captive Portal del router esté establecida para utilizar un certificado SSL válido para la redirección, o bien confiar en las sondas de red a nivel de sistema operativo (como el CNA de Apple) que utilizan endpoints HTTP para activar el portal automáticamente.

Q3. Un operador marítimo se queja de que su conexión de Starlink Maritime (220 Mbps) se vuelve inutilizable todas las noches. Actualmente ofrecen una red de invitados abierta y sin contraseña. ¿Qué tres configuraciones específicas debería implementar en el router empresarial y en el Captive Portal para resolver esto?

Sugerencia: Enfóquese en controlar cuántos datos pueden consumir los usuarios individuales y en priorizar los tipos de tráfico críticos.

Ver respuesta modelo
  1. Implementar un Captive Portal que requiera autenticación para rastrear y administrar a los usuarios individuales. 2. Aplicar límites de ancho de banda por dispositivo (por ejemplo, 5 Mbps de bajada / 2 Mbps de subida) para evitar que un solo usuario monopolice la conexión. 3. Aplicar reglas de conformación de tráfico (traffic shaping) en el firewall para priorizar la navegación web y los protocolos de mensajería, mientras se limita o bloquea el uso de aplicaciones de alto ancho de banda como la transmisión de video y el intercambio de archivos P2P.