Passer au contenu principal

Comment configurer un Captive Portal sur Starlink : Un guide pour les sites isolés et maritimes

Ce guide explique en détail comment contourner le matériel Starlink natif et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter les limites du CGNAT, à appliquer la segmentation VLAN, à gérer les contraintes de bande passante par satellite et à garantir la conformité réglementaire.

📖 5 min de lecture📝 1,227 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Parlez en anglais britannique avec un ton confiant, autoritaire et conversationnel - comme un consultant senior briefant un client. Un rythme mesuré, une articulation claire, chaleureux mais professionnel. Pas de mots de remplissage. De brèves pauses occasionnelles pour insister : Bienvenue dans ce briefing technique Purple. Je vais vous présenter tout ce que vous devez savoir sur la configuration d'un Captive Portal sur Starlink - spécifiquement pour les sites éloignés, les opérateurs maritimes et tous ceux qui gèrent du WiFi pour les invités là où la fibre n'est tout simplement pas une option. [pause moyenne] Commençons par le problème. Starlink a véritablement changé la donne en matière de connectivité pour les sites qui devaient auparavant se contenter de liaisons satellites lentes et coûteuses ou d'une couverture 4G instable. Un navire de croisière, un hôtel isolé dans les montagnes, une base de vie de chantier, un festival au milieu d'un champ - tous peuvent désormais bénéficier de 100 à 220 mégabits par seconde grâce à une antenne de la taille d'une grande pizza. C'est remarquable. Mais voilà : la connectivité brute ne fait que la moitié du travail. Dès que vous mettez cette connexion à la disposition d'invités, de passagers ou d'équipages, vous avez besoin d'authentification, de contrôle d'accès, de recueil du consentement conforme au GDPR et de gestion de la bande passante. Starlink ne fournit rien de tout cela par défaut. C'est là qu'intervient un Captive Portal. Et c'est ce que nous allons configurer aujourd'hui. [pause moyenne] Première partie : comprendre les contraintes du réseau Starlink. Avant de toucher à un routeur, vous devez comprendre ce que Starlink vous fournit réellement au niveau de l'interface WAN. L'antenne Starlink standard se connecte à un routeur propriétaire qui gère le DHCP et le NAT. Par défaut, vous vous trouvez derrière un NAT de classe opérateur - ce que les ingénieurs appellent le CGNAT. Cela signifie que votre adresse IP WAN se situe dans la plage 100.64 à 100.127. Ce n'est pas une IP publique. Vous ne pouvez pas recevoir de connexions entrantes depuis internet. Et cela a une importance considérable pour l'architecture du Captive Portal. La solution est le mode bypass - parfois appelé mode pont. Vous l'activez dans l'application Starlink sous Paramètres, puis en activant l'option "Bypass Starlink WiFi router". Une fois activé, l'antenne Starlink transmet directement l'adresse CGNAT au port WAN de votre routeur d'entreprise. Le routeur Starlink cesse de gérer le DHCP et le NAT. Votre routeur prend le relais. Vous êtes toujours derrière le CGNAT, mais vous avez désormais le contrôle total de la couche de routage. Un point critique : si l'antenne Starlink subit une réinitialisation d'usine pour une raison quelconque, le mode bypass est désactivé. Vous devrez le réactiver. Intégrez cela dans vos procédures d'exploitation sur site. [pause moyenne] Actuellement, Starlink propose trois niveaux de forfait pertinents pour les exploitants de sites. Standard vous offre jusqu'à 100 mégabits en réception, une priorité de type "best-effort" et aucune option d'IP statique. Business vous offre jusqu'à 220 mégabits, une allocation de données prioritaires et une option d'IP statique. Maritime vous offre les mêmes vitesses avec une portabilité mondiale - essentielle si le navire se déplace entre différentes régions océaniques. Pour tout site multi-utilisateurs, je recommande au minimum Business ou Maritime. Les données "best-effort" du forfait Standard signifient que vos invités verront leur connexion dépriorisée dès que la cellule satellite sera saturée. [pause moyenne] Deuxième section : l'architecture technique. Voici la structure à quatre couches que vous allez mettre en place. La première couche est la liaison Starlink en mode bypass. La deuxième couche est votre routeur ou pare-feu d'entreprise - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - tous conviennent. La troisième couche est la segmentation VLAN au niveau du commutateur ou du point d'accès. La quatrième couche est le Captive Portal dans le cloud, qui gère l'authentification, le consentement et les analyses. Permettez-moi de m'attarder un instant sur la segmentation VLAN, car elle est indispensable. Il vous faut au minimum trois VLANs. Le VLAN 10 pour le personnel - il prend en charge vos systèmes POS, vos applications de back-office et le trafic de gestion. Le VLAN 20 pour les invités - il s'agit du segment d'accès internet uniquement qui redirige vers le Captive Portal. Le VLAN 30 pour l'IoT - caméras, thermostats connectés, systèmes de gestion technique du bâtiment. Ces trois réseaux ne doivent en aucun cas pouvoir communiquer entre eux. Le routage inter-VLAN doit être bloqué au niveau du pare-feu. Un invité sur le VLAN 20 ne doit jamais pouvoir accéder à votre terminal POS sur le VLAN 10. Ce n'est pas seulement une bonne pratique - c'est une exigence PCI-DSS si vous traitez des paiements par carte sur la même infrastructure physique. [pause moyenne] Le Captive Portal lui-même réside dans le cloud. Lorsqu'un invité se connecte à votre SSID invité et ouvre un navigateur, le routeur intercepte la requête HTTP et la redirige vers la page de connexion du portail. L'invité s'authentifie - par e-mail, connexion sociale ou code coupon - accepte vos conditions d'utilisation, et le portail signale au routeur d'autoriser l'accès internet pour cette adresse MAC. L'ensemble du parcours doit durer moins de 10 secondes sur un appareil mobile. Avec Purple, ce portail cloud s'intègre directement avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet. Vous configurez l'intégration RADIUS ou API une seule fois, et Purple gère l'échange d'authentification. Aucun serveur d'authentification sur site n'est requis. C'est un aspect essentiel pour les sites distants où vous ne pouvez pas exploiter un serveur RADIUS local. [pause moyenne] Troisième section : le problème du CGNAT et sa résolution. Voici le défi qui surprend la plupart des équipes informatiques. Les architectures de Captive Portal standard supposent que le portail cloud peut communiquer directement vers votre réseau local. Avec le CGNAT, c'est impossible. Les connexions entrantes sont bloquées. La solution est un tunnel inversé. Votre routeur établit une connexion sortante vers le portail cloud et la maintient ouverte en permanence. Tout le trafic d'authentification passe par ce tunnel. Le cloud n'a jamais besoin d'initier une connexion entrante. L'architecture de superposition cloud de Purple gère cela nativement - vous n'avez pas besoin de configurer manuellement WireGuard ou OpenVPN, bien que ces deux options restent des alternatives valables si vous gérez votre propre infrastructure. Si vous avez réellement besoin d'une IP fixe - par exemple, si vous gérez un serveur RADIUS sur site ou si vous avez besoin d'une liste blanche d'IP constante - Starlink Business et Maritime proposent une IP fixe en option. Au moment de l'enregistrement, cette option est disponible dans la plupart des régions. Consultez les pages des forfaits actuels de Starlink pour votre territoire spécifique. [medium pause] Section quatre : GDPR et conformité des données. C'est ici que les sites isolés et maritimes se font souvent piéger. Le fait que votre site se trouve sur un navire dans les eaux internationales, ou dans un endroit reculé, ne vous exempte pas de la conformité GDPR si vous collectez des données auprès de résidents de l'UE. Et si vous opérez dans les eaux britanniques après le Brexit, le UK GDPR s'applique. Votre Captive Portal doit présenter une case à cocher de consentement spécifique et non pré-cochée pour les communications marketing. Il doit indiquer clairement quelles données vous collectez, pourquoi, et combien de temps vous les conservez. Les conditions d'utilisation doivent être accessibles avant que l'invité ne s'authentifie. Et vous devez être en mesure de prouver, sur demande, qu'un individu spécifique a donné son consentement à une date et heure précises. Purple est certifié ISO 27001, conforme au GDPR, conforme à la CCPA et certifié Cyber Essentials. Chaque événement de connexion est enregistré avec un horodatage, une adresse IP et un enregistrement de consentement. Cette piste d'audit est ce qui vous protège si un régulateur pose des questions. [medium pause] Section cinq : gestion de la bande passante. Sur Starlink, la bande passante est votre ressource la plus limitée. Un seul passager diffusant de la vidéo 4K peut consommer 25 mégabits par seconde en continu. Sur un navire de 50 passagers disposant d'une connexion de 220 mégabits, cela représente une seule personne consommant 11 % de la capacité totale. Vous devez gérer cela au niveau du Captive Portal et du routeur. Définissez des limites de bande passante par appareil - par exemple, 5 mégabits en téléchargement et 2 mégabits en envoi par appareil invité. Mettez en place des politiques d'utilisation équitable qui réduisent le débit après un quota de données quotidien. Utilisez le modelage du trafic pour donner la priorité à la navigation web et à la messagerie plutôt qu'à la diffusion vidéo. Et envisagez un accès multiniveau : un niveau gratuit pour la connectivité de base, un niveau premium payant pour le streaming. Cela transforme votre WiFi d'un poste de coût en une source de revenus. [medium pause] Laissez-moi maintenant vous présenter deux scénarios réels. Scénario un : un navire de croisière de 120 cabines. L'opérateur utilise Starlink Maritime à 220 mégabits. Il déploie des points d'accès Cisco Meraki dans tout le navire avec trois VLAN - équipage, passagers et systèmes du navire. Le Captive Portal de Purple gère l'authentification des passagers par e-mail ou par une recherche de numéro de cabine intégrée au PMS. Chaque passager bénéficie d'un quota quotidien de 2 gigaoctets. Les passagers du niveau premium bénéficient de 10 gigaoctets. Le portail collecte des données d'e-mail de première main pour le marketing post-voyage. Résultat : les revenus du WiFi couvrent le coût de l'abonnement Starlink, et l'opérateur dispose d'une liste de marketing direct en pleine croissance. Scénario deux : un hôtel isolé dans les Highlands sans fibre. Ils utilisent Starlink Business à une moyenne de 150 mégabits. Des points d'accès HPE Aruba couvrent le bâtiment principal et trois dépendances. Les clients s'authentifient par e-mail sur le portail de Purple. L'hôtel utilise les analyses de Purple pour comprendre les heures de pointe et ajuste les politiques de bande passante en conséquence. Ils ont réduit les plaintes concernant le WiFi pour les clients de 60 % par rapport à leur configuration précédente en agrégation 4G, selon leurs propres données opérationnelles. [medium pause] Pièges courants. Laissez-moi passer en revue les cinq que je vois le plus souvent. Premièrement : oublier de réactiver le mode bypass après une réinitialisation de l'antenne. Documentez cela dans votre guide d'exploitation et configurez une alerte de surveillance sur l'interface WAN de votre routeur. Deuxièmement : ne pas bloquer le routage inter-VLAN. Chaque déploiement que j'ai examiné et qui a connu un incident de sécurité présentait cette mauvaise configuration. Vérifiez-le deux fois. Troisièmement : utiliser la redirection HTTP pour le Captive Portal sur un réseau où les clients utilisent des navigateurs HTTPS-first. Les navigateurs modernes utilisent le HTTPS par défaut. Votre routeur doit gérer l'interception HTTPS correctement, sinon les clients verront des erreurs de certificat avant d'atteindre le portail. Le portail de Purple gère cela, mais la configuration de votre routeur doit être correcte. Quatrièmement : ne pas tester séparément sur iOS et Android. L'assistant réseau captif d'Apple et la sonde réseau d'Android se comportent différemment. Testez les deux avant la mise en service. Cinquièmement : ignorer la latence. La constellation LEO de Starlink offre une latence de 20 à 40 millisecondes - bien meilleure que celle des satellites géostationnaires traditionnels. Mais lors des transitions entre satellites, vous pouvez observer de brèves pointes. Les paramètres de délai d'expiration de votre Captive Portal doivent en tenir compte. Définissez les intervalles de maintien de session (keepalive) à 60 secondes ou moins. [medium pause] Questions rapides. Ai-je besoin d'une IP fixe pour un Captive Portal sur Starlink ? Non, si votre portail utilise une architecture hébergée dans le cloud avec tunnel inversé. Oui, si vous utilisez un serveur RADIUS sur site. Puis-je diffuser plusieurs SSID sur Starlink ? Oui - vos points d'accès d'entreprise gèrent la création des SSID. Starlink en mode bypass fournit simplement la liaison montante. Vous pouvez diffuser autant de SSID que vos points d'accès le permettent. Est-ce que Purple fonctionne avec Starlink dès le départ ? Oui. Vous configurez le mode bypass sur l'antenne Starlink, connectez vos points d'accès compatibles et pointez l'intégration RADIUS ou API vers le cloud de Purple. Le portail est opérationnel en moins d'une heure. Que se passe-t-il si la connexion Starlink s'interrompt ? Le portail de Purple met en cache les sessions actives localement sur le routeur pendant une période configurable - généralement 24 heures. Les clients déjà authentifiés restent en ligne. Les nouvelles authentifications sont mises en attente jusqu'à ce que la connectivité soit rétablie. [medium pause] Pour résumer. Starlink vous fournit le canal. Votre routeur d'entreprise en mode bypass vous donne le contrôle de la couche de routage. La segmentation VLAN isole votre trafic invités, personnel et IoT. Un Captive Portal cloud - celui de Purple, en l'occurrence - gère l'authentification, le consentement GDPR, les politiques de bande passante et la collecte de données de première main. La contrainte du CGNAT est résolue par une architecture de tunnel inverse, et non par une IP statique. Et la gestion de la bande passante au niveau du portail est ce qui permet de maintenir votre connexion Starlink utilisable pour tout le monde. Si vous évaluez cette solution pour votre site, la prochaine étape consiste à vérifier le matériel de point d'accès que vous utilisez - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - et à consulter la documentation d'intégration de Purple pour cette plateforme. Vous trouverez le guide technique complet sur purple.ai, et l'équipe Purple peut vous accompagner dans la configuration d'une preuve de concept pour votre site spécifique. Merci pour votre écoute. On se retrouve au prochain briefing.

header_image.png

Résumé exécutif

Starlink fournit une connectivité de 220 Mbps dans des endroits inaccessibles par la fibre, transformant complètement le paysage réseau des sites isolés et maritimes. Cependant, pour les environnements ouverts au public, la simple connectivité ne suffit pas. Lorsque vous déployez Starlink pour des invités, des passagers ou des membres d'équipage, vous devez mettre en œuvre l'authentification, le contrôle d'accès, le consentement conforme au GDPR et la gestion de la bande passante. Le routeur natif Starlink ne fournit aucune de ces fonctionnalités.

Ce guide explique en détail comment contourner le matériel natif Starlink et intégrer un Captive Portal géré dans le cloud à l'aide d'équipements de routage d'entreprise. Vous apprendrez à surmonter les limites du Carrier Grade NAT (CGNAT), à mettre en œuvre la segmentation VLAN, à gérer les contraintes de bande passante satellite et à garantir la conformité réglementaire.

En mettant en œuvre cette architecture, les exploitants de sites transforment une ligne internet non gérée en un réseau sécurisé et segmenté qui capture des données de première main et protège l'infrastructure commerciale centrale.

Analyse technique approfondie

La contrainte du CGNAT

Le principal obstacle technique lors du déploiement d'un Captive Portal sur Starlink est le Carrier Grade NAT (CGNAT). L'antenne Starlink standard se connecte à un routeur propriétaire qui gère le DHCP et le NAT. Par défaut, l'adresse IP WAN attribuée à votre équipement se situe dans la plage 100.64.0.0/10. Comme il ne s'agit pas d'une adresse IP publique, votre routeur ne peut pas recevoir de connexions entrantes depuis internet.

Les architectures de Captive Portal standards supposent souvent que le portail cloud peut interroger votre réseau pour authentifier les utilisateurs ou mettre à jour les listes de contrôle d'accès. Avec le CGNAT, les connexions entrantes échouent.

Pour résoudre ce problème, vous devez configurer l'antenne Starlink en mode Bypass (souvent appelé mode pont). En mode Bypass, les fonctions du routeur Starlink sont désactivées, et l'antenne envoie directement l'adresse CGNAT au port WAN de votre routeur d'entreprise. Votre routeur d'entreprise prend alors le contrôle total de la couche de routage.

architecture_overview.png

Architecture de tunnel inversé (Reverse Tunnel)

Même lorsque le routeur d'entreprise gère le trafic, la restriction entrante du CGNAT persiste. La solution réside dans une architecture de tunnel inversé. Votre routeur établit une connexion sortante vers le portail cloud et la maintient en permanence. Tout le trafic d'authentification passe par ce tunnel établi. L'infrastructure cloud n'a jamais besoin d'initier de connexion entrante.

L'architecture d'overlay cloud de Purple gère cela de manière native. Vous n'avez pas besoin de configurer manuellement des tunnels VPN. Si votre déploiement nécessite une IP statique pour des serveurs RADIUS existants sur site ou un filtrage d'IP strict avec liste d'autorisation, les forfaits Starlink Business et Maritime proposent une IP statique en option payante.

Contraintes de bande passante et mise en forme du trafic

La bande passante par satellite est une ressource partagée et limitée. Un seul utilisateur diffusant du contenu vidéo en 4K peut consommer en continu 25 Mbps. Sur un navire de 50 passagers partageant une connexion Starlink de 220 Mbps, un seul utilisateur pourrait consommer 11 % de la capacité totale.

Vous devez traiter ce problème au niveau du Captive Portal et du routeur grâce à une mise en forme rigoureuse du trafic :

  • Limites par appareil : Restreignez les appareils des clients individuels à 5 Mbps en téléchargement et 2 Mbps en transfert.
  • Politiques d'utilisation équitable : Imposez des quotas de données quotidiens (par exemple, 2 Go par 24 heures).
  • Contrôle des applications : Priorisez la navigation web et les protocoles de messagerie par rapport à la diffusion vidéo et au partage de fichiers en pair-à-pair.
  • Accès hiérarchisé : Proposez un niveau gratuit pour la connectivité de base et un niveau payant premium pour le streaming, transformant ainsi l'infrastructure WiFi d'un centre de coûts en une source de revenus.

comparison_chart.png

Guide d'implémentation

Suivez ces étapes pour déployer un Captive Portal sécurisé sur Starlink à l'aide de matériel d'entreprise.

Étape 1 : Activer le mode Bypass

  1. Installez le matériel Starlink et vérifiez la connectivité à l'aide du routeur d'origine.
  2. Ouvrez l'application mobile Starlink et accédez à Paramètres.
  3. Sélectionnez et confirmez Bypass Starlink WiFi router.
  4. Connectez l'adaptateur Ethernet Starlink au port WAN de votre routeur d'entreprise (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet).

Remarque : Si l'antenne Starlink subit une réinitialisation d'usine, le mode Bypass est automatiquement désactivé. Documentez cela dans votre carnet de route du site et configurez une alerte de surveillance sur l'interface WAN de votre routeur.

Étape 2 : Configurer la segmentation VLAN

Vous devez isoler le trafic des invités de vos systèmes d'entreprise centraux. Configurez au moins trois VLAN sur votre commutateur central et vos points d'accès :

  • VLAN 10 (Personnel) : Transporte les systèmes de point de vente, les applications de back-office et le trafic de gestion.
  • VLAN 20 (Invité) : Segment uniquement Internet qui redirige vers le Captive Portal.
  • VLAN 30 (IoT) : Réseau isolé pour les caméras, les thermostats intelligents et les systèmes de gestion technique du bâtiment.

Configurez des règles de pare-feu pour bloquer tout routage inter-VLAN. Un appareil invité sur le VLAN 20 ne doit jamais pouvoir envoyer de ping à un terminal de point de vente sur le VLAN 10. Cette segmentation est une exigence stricte pour la conformité PCI-DSS.

Étape 3 : Déployer le Captive Portal Cloud

  1. Configurez vos points d'accès pour diffuser le SSID Invité sur le VLAN 20.
  2. Définissez la méthode d'authentification sur un serveur RADIUS externe ou utilisez l'intégration API du fournisseur.3. Pointez le serveur d'authentification vers l'infrastructure cloud de Purple.
  3. Configurez le walled garden (liste d'autorisation) pour autoriser le trafic vers les domaines de Purple avant que l'authentification ne soit terminée.
  4. Concevez la page d'accueil (splash page) dans le portail Purple, en veillant à ce que l'image de marque corresponde à votre site et que les conditions d'utilisation soient clairement affichées.

Étape 4 : Tester le parcours utilisateur

Testez le flux d'authentification sur les appareils iOS et Android. L'assistant réseau captif (CNA) d'Apple et la sonde réseau d'Android se comportent différemment. Vérifiez que la splash page se charge en moins de 10 secondes et que l'appareil accède à Internet immédiatement après l'authentification.

Bonnes pratiques

  • Interception HTTPS : Assurez-vous que votre routeur gère correctement l'interception HTTPS. Les appareils modernes utilisent le HTTPS par défaut. Si le routeur ne peut pas rediriger proprement les requêtes HTTPS, les invités rencontreront des erreurs de certificat avant d'accéder au portail.
  • Session Keepalive : La constellation de satellites en orbite terrestre basse (LEO) de Starlink offre des latences de 20 à 40 millisecondes, mais de brèves pointes de latence se produisent lors des transferts de satellites. Définissez l'intervalle de keepalive de session de votre Captive Portal sur 60 secondes ou moins pour éviter une déconnexion prématurée.
  • Mise en cache hors ligne : Configurez votre routeur pour mettre en cache localement les sessions actives. Si la connexion Starlink s'interrompt temporairement, les invités déjà authentifiés resteront en ligne lorsque la connectivité sera rétablie, plutôt que d'être contraints de se reconnecter.

Dépannage et atténuation des risques

Mode de défaillance Cause racine Atténuation
Échec du chargement du Captive Portal Configuration incorrecte du walled garden Vérifiez que tous les domaines Purple et les points de terminaison CDN requis sont ajoutés à la liste d'autorisation de pré-authentification sur le routeur.
Erreurs de double NAT Le mode Bypass est désactivé Vérifiez l'application Starlink pour confirmer que le mode Bypass est actif. Des fluctuations d'alimentation ou des réinitialisations manuelles peuvent avoir rétabli les paramètres par défaut de l'antenne.
Vitesses lentes pour les invités Bande passante non restreinte Appliquez des limites de bande passante par appareil (par exemple, 5 Mbps) et bloquez les applications gourmandes en bande passante comme BitTorrent sur le pare-feu.
Échec de l'audit de sécurité Le routage inter-VLAN est activé Inspectez les règles du pare-feu pour vous assurer que le trafic provenant du VLAN Invité ne peut pas être routé vers le VLAN Personnel ou d'Administration.

Retour sur investissement et impact commercial

Le déploiement d'un Captive Portal managé sur Starlink transforme une simple connexion Internet en un actif commercial mesurable.

Pour un navire de croisière de 120 cabines équipé de Starlink Maritime à 220 Mbps, un accès brut génère un retour commercial nul. En déployant des points d'accès Cisco Meraki et le Captive Portal de Purple, l'opérateur peut imposer un forfait quotidien de 2 Go pour les passagers standard tout en proposant une formule premium payante de 10 Go. Les revenus WiFi qui en découlent couvrent le coût de l'abonnement mensuel Starlink de plus de 250 $. De plus, le portail capture des données d'e-mail de première partie (first-party) entièrement conformes, enrichissant ainsi la liste de marketing direct de l'opérateur pour ses futurs voyages. Dans un environnement hôtelier isolé, le déploiement d'un portail doté de politiques de bande passante strictes réduit les plaintes des clients concernant la lenteur du WiFi jusqu'à 60 %, car les utilisateurs gourmands en données ne peuvent plus monopoliser la liaison satellite.

" />

Définitions clés

Bypass Mode

Un paramètre de configuration qui désactive les fonctions DHCP et NAT du routeur Starlink natif, transmettant directement l'IP WAN à un routeur d'entreprise tiers.

Requis lors de l'intégration d'équipements réseau d'entreprise avec une antenne Starlink afin d'éviter le double NAT et les conflits de routage.

CGNAT (Carrier Grade NAT)

Une méthode utilisée par les FAI pour partager une seule adresse IP publique entre plusieurs clients. Le routeur du client reçoit une adresse IP privée (généralement 100.64.0.0/10).

Starlink utilise le CGNAT par défaut, ce qui empêche les connexions entrantes depuis Internet et nécessite des architectures de tunnel inverse pour la gestion cloud.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils provenant de différents LAN physiques.

Utilisé pour isoler le trafic WiFi des clients de celui du personnel et des réseaux IoT, garantissant ainsi la sécurité et la conformité.

Captive Portal

Une page web qu'un utilisateur d'un réseau d'accès public est obligé de consulter et avec laquelle il doit interagir avant de se voir accorder l'accès.

Utilisé pour appliquer les conditions d'utilisation, collecter des données marketing et authentifier les utilisateurs sur les réseaux WiFi invités.

Walled Garden

Un environnement limité qui contrôle l'accès de l'utilisateur aux contenus et services web avant qu'il ne se soit pleinement authentifié.

Requis pour permettre aux appareils des clients d'accéder au Captive Portal cloud et aux serveurs d'authentification avant de bénéficier d'un accès complet à Internet.

RADIUS

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilisation pour les utilisateurs qui se connectent et utilisent un service réseau.

Le protocole sous-jacent utilisé par les points d'accès d'entreprise pour communiquer avec le Captive Portal cloud afin de vérifier les identifiants des utilisateurs.

Traffic Shaping

La manipulation et la hiérarchisation du trafic réseau afin de réduire l'impact des utilisateurs intensifs ou des applications sensibles à la latence.

Essentiel sur les réseaux Starlink pour donner la priorité à la navigation web sur les activités à forte consommation de bande passante comme le streaming vidéo.

Données de première partie

Informations qu'une entreprise collecte directement auprès de ses clients et dont elle est propriétaire.

Capturées via le processus de connexion du Captive Portal (par exemple, les adresses e-mail) et utilisées pour le marketing direct et les campagnes de fidélisation.

Exemples concrets

Un navire de croisière de 120 cabines utilisant Starlink Maritime à 220 Mbps doit fournir un accès WiFi aux passagers sans dégrader les opérations du navire. Ils ont besoin d'un mécanisme pour monétiser la connexion et collecter des données marketing.

L'opérateur déploie des points d'accès Cisco Meraki dans tout le navire avec trois VLAN stricts : équipage, passagers et systèmes du navire. Le Captive Portal de Purple gère l'authentification des passagers par e-mail ou par recherche de numéro de cabine intégrée au PMS. Chaque passager bénéficie d'un quota quotidien de 2 Go. Les passagers de la catégorie Premium peuvent acheter une allocation de 10 Go. Le portail collecte des données e-mail de première partie pour le marketing post-voyage.

Commentaire de l'examinateur : Cette approche résout la contrainte de bande passante par des limites quotidiennes strictes tout en générant des revenus directs. La segmentation VLAN garantit que le trafic des passagers ne peut pas compromettre les systèmes critiques du navire. L'intégration du PMS offre une expérience de connexion sans friction.

Un hôtel isolé dans les Highlands, sans infrastructure fibre, utilise Starlink Business à 150 Mbps. Les clients se plaignent fréquemment de la lenteur de la connexion en soirée, et l'hôtel n'a aucune visibilité sur les personnes qui utilisent le réseau.

L'hôtel déploie des points d'accès HPE Aruba dans le bâtiment principal et les dépendances. Ils configurent l'antenne Starlink en Bypass Mode et la connectent à une passerelle Aruba. Les clients s'authentifient par e-mail sur le portail de Purple. L'hôtel applique une limite stricte de bande passante de 5 Mbps par appareil et utilise les outils d'analyse de Purple pour surveiller les heures de pointe.

Commentaire de l'examinateur : En mettant en œuvre une limitation par appareil, l'hôtel empêche les clients individuels de monopoliser la liaison de 150 Mbps pendant les heures de pointe de la soirée. L'authentification par e-mail permet de collecter des données de première partie pour de futures campagnes de réservation directe, réduisant ainsi la dépendance aux OTA.

Questions d'entraînement

Q1. Un camp minier isolé a déployé Starlink Business. Ils ont connecté un pare-feu Cisco Meraki MX au routeur Starlink. Les clients peuvent se connecter au WiFi, mais la page du Captive Portal expire et ne parvient pas à se charger. Quelle est la cause la plus probable ?

Conseil : Réfléchissez à la manière dont le matériel Starlink gère le routage par défaut et à ce que le pare-feu Meraki requiert pour gérer efficacement le trafic.

Voir la réponse type

L'antenne Starlink n'a pas été configurée en mode bypass (Bypass Mode). Par conséquent, le réseau subit un double NAT (le routeur Starlink et le pare-feu Meraki tentent tous deux d'effectuer une traduction d'adresse réseau). L'administrateur doit utiliser l'application Starlink pour activer le Bypass Mode, permettant ainsi au pare-feu Meraki de recevoir directement l'IP CGNAT et de gérer le routage ainsi que l'interception du Captive Portal.

Q2. Vous déployez un Captive Portal pour un hôtel utilisant Starlink. Vous avez configuré le Bypass Mode et la segmentation VLAN. Lors des tests, vous remarquez que les appareils Apple invitent immédiatement l'utilisateur à se connecter, mais certains appareils Android affichent une erreur de certificat lorsque l'utilisateur tente de naviguer sur un site Web sécurisé avant de s'authentifier. Comment résolvez-vous cela ?

Conseil : Pensez à la manière dont les navigateurs modernes gèrent les demandes de connexion initiales et à ce que le routeur doit faire pour les intercepter proprement.

Voir la réponse type

Le routeur d'entreprise n'est pas configuré pour gérer correctement l'interception HTTPS pour la redirection du Captive Portal. Les navigateurs modernes utilisent le protocole HTTPS par défaut. Lorsque l'utilisateur tente de visiter un site HTTPS avant de s'authentifier, le routeur intercepte le trafic et présente son propre certificat, que le navigateur rejette comme non valide. Vous devez vous assurer que les paramètres du Captive Portal du routeur sont configurés pour utiliser un certificat SSL valide pour la redirection, ou vous appuyer sur les sondes réseau au niveau du système d'exploitation (comme le CNA d'Apple) qui utilisent des points de terminaison HTTP pour déclencher automatiquement le portail.

Q3. Un opérateur maritime se plaint que sa connexion Starlink Maritime (220 Mbps) devient inutilisable tous les soirs. Il propose actuellement un réseau invité ouvert et sans mot de passe. Quelles sont les trois configurations spécifiques que vous devriez implémenter sur le routeur d'entreprise et le Captive Portal pour résoudre ce problème ?

Conseil : Concentrez-vous sur le contrôle de la quantité de données que les utilisateurs individuels peuvent consommer et sur la priorisation des types de trafic critiques.

Voir la réponse type
  1. Implémenter un Captive Portal exigeant une authentification pour suivre et gérer les utilisateurs individuels. 2. Appliquer des limites de bande passante par appareil (par exemple, 5 Mbps en descente / 2 Mbps en montée) pour empêcher un seul utilisateur de monopoliser la connexion. 3. Appliquer des règles de mise en forme du trafic (traffic shaping) au niveau du pare-feu afin de prioriser la navigation Web et les protocoles de messagerie tout en limitant ou en bloquant les applications gourmandes en bande passante comme le streaming vidéo et le partage de fichiers en P2P.