Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Parla in italiano con un tono sicuro, autorevole e colloquiale - come un consulente senior che fa un briefing a un cliente. Ritmo misurato, articolazione chiara, caloroso ma professionale. Nessuna parola di riempimento. Occasionali brevi pause per enfasi: Benvenuti al briefing tecnico di Purple. Vi guiderò attraverso tutto ciò che c'è da sapere sulla configurazione di un Captive Portal su Starlink, in particolare per sedi remote, operatori marittimi e chiunque gestisca un WiFi per gli ospiti dove la fibra semplicemente non è un'opzione. [medium pause] Iniziamo con il problema. Starlink ha davvero cambiato lo scenario della connettività per le sedi che in precedenza erano bloccate con collegamenti satellitari lenti e costosi o un 4G instabile. Una nave da crociera, un hotel remoto nelle Highlands, un'unità di servizio in un cantiere edile, l'area di un festival in un campo: tutti questi possono ora ottenere da 100 a 220 megabit al secondo da una parabola delle dimensioni di una pizza grande. È straordinario. Ma il punto è questo: la connettività grezza è solo metà del lavoro. Nel momento in cui mettete quella connessione a disposizione di ospiti, passeggeri o equipaggio, avete bisogno di autenticazione, controllo degli accessi, consenso conforme al GDPR e gestione della larghezza di banda. Starlink non offre nulla di tutto questo di serie. È qui che entra in gioco un Captive Portal. Ed è proprio questo che costruiremo oggi. [medium pause] Sezione uno: comprendere i vincoli della rete Starlink. Prima di toccare un router, dovete capire cosa vi fornisce effettivamente Starlink sull'interfaccia WAN. La parabola Starlink standard si collega a un router proprietario che gestisce DHCP e NAT. Per impostazione predefinita, vi trovate dietro un NAT di livello carrier, quello che gli ingegneri chiamano CGNAT. Ciò significa che il vostro indirizzo IP WAN si trova nell'intervallo da 100.64 a 100.127. Non è un IP pubblico. Non potete ricevere connessioni in entrata da Internet. E questo ha un'importanza enorme per l'architettura del Captive Portal. La soluzione è la Bypass Mode, a volte chiamata modalità bridge. Potete abilitarla nell'app Starlink in Impostazioni, quindi attivare "Bypass Starlink WiFi router". Una volta abilitata, la parabola Starlink passa l'indirizzo CGNAT direttamente alla porta WAN del vostro router aziendale. Il router Starlink smette di gestire DHCP e NAT. Il vostro router subentra. Siete ancora dietro CGNAT, ma ora avete il controllo completo del livello di routing. Un punto critico: se la parabola Starlink viene ripristinata alle impostazioni di fabbrica per qualsiasi motivo, la Bypass Mode viene disabilitata. Dovrete riabilitarla. Inserite questo aspetto nel vostro manuale operativo del sito. [medium pause] Ora, Starlink offre tre livelli di abbonamento rilevanti per gli operatori di sedi. Standard offre fino a 100 megabit in download, priorità best-effort e nessuna opzione di IP statico. Business offre fino a 220 megabit, allocazione prioritaria dei dati e un componente aggiuntivo per l'IP statico. Maritime offre le stesse velocità con portabilità globale, essenziale se la nave si sposta tra regioni oceaniche. Per qualsiasi sede multi-utente, consiglio come minimo Business o Maritime. I dati best-effort su Standard significano che i vostri ospiti subiranno una riduzione della priorità ogni volta che la cella satellitare è congestionata. [medium pause] Sezione due: lo stack dell'architettura. Ecco lo stack a quattro livelli che state costruendo. Il livello uno è l'uplink Starlink in Bypass Mode. Il livello due è il vostro router o firewall aziendale: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet; ognuno di questi va bene. Il livello tre è la segmentazione VLAN a livello di switch o access point. Il livello quattro è il Captive Portal in cloud, che gestisce autenticazione, consenso e analitica. Vorrei soffermarmi un momento sulla segmentazione VLAN perché non è negoziabile. Avete bisogno di almeno tre VLAN. VLAN 10 per il personale: questa trasporta i vostri sistemi POS, le applicazioni di back-office e il traffico di gestione. VLAN 20 per gli ospiti: questo è il segmento solo Internet che reindirizza al Captive Portal. VLAN 30 per l'IoT: telecamere, termostati intelligenti, sistemi di gestione dell'edificio. Queste tre reti non devono poter comunicare tra loro. Il routing inter-VLAN deve essere bloccato sul firewall. Un ospite sulla VLAN 20 non deve mai essere in grado di raggiungere il vostro terminale POS sulla VLAN 10. Questa non è solo una buona pratica, è un requisito PCI DSS se elaborate pagamenti con carta in qualsiasi punto della stessa infrastruttura fisica. [medium pause] Il Captive Portal stesso risiede nel cloud. Quando un ospite si connette al vostro SSID ospiti e apre un browser, il router intercetta la richiesta HTTP e la reindirizza alla pagina di accesso del portale. L'ospite si autentica (tramite e-mail, social login o un codice voucher), accetta i termini di servizio e il portale segnala al router di concedere l'accesso a Internet a quell'indirizzo MAC. L'intero flusso dovrebbe completarsi in meno di 10 secondi su un dispositivo mobile. Con Purple, quel portale cloud si integra direttamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configurate l'integrazione RADIUS o API una sola volta e Purple gestisce l'handshake di autenticazione. Non è richiesto alcun server di autenticazione in loco. Questo è fondamentale per le sedi remote in cui non è possibile eseguire un server RADIUS locale. [medium pause] Sezione tre: il problema del CGNAT e come risolverlo. Ecco la sfida che coglie di sorpresa la maggior parte dei team IT. Le architetture standard dei Captive Portal presuppongono che il portale cloud possa raggiungere la vostra rete. Con il CGNAT, questo è impossibile. Le connessioni in entrata sono bloccate. La soluzione è un tunnel inverso. Il vostro router stabilisce una connessione in uscita verso il portale cloud e la mantiene costantemente aperta. Tutto il traffico di autenticazione scorre attraverso quel tunnel. Il cloud non ha mai bisogno di avviare una connessione in entrata. L'architettura cloud overlay di Purple gestisce questo aspetto in modo nativo: non è necessario configurare manualmente tunnel WireGuard o OpenVPN, sebbene entrambi siano valide alternative se gestite la vostra infrastruttura. Se avete bisogno di un IP statico, ad esempio se eseguite un server RADIUS in loco o avete bisogno di un allowlisting IP coerente, Starlink Business e Maritime offrono un IP statico come componente aggiuntivo. Al momento della registrazione, questo è disponibile nella maggior parte delle regioni. Controllate le pagine dei piani attuali di Starlink per il vostro territorio specifico. [medium pause] Sezione quattro: GDPR e conformità dei dati. Questo è il punto in cui le sedi remote e marittime spesso vengono colte in fallo. Il fatto che la vostra sede si trovi su una nave in acque internazionali, o in una posizione remota, non vi esenta dal GDPR se state raccogliendo dati da residenti nell'UE. E se operate nelle acque del Regno Unito dopo la Brexit, si applica il GDPR del Regno Unito. Il vostro Captive Portal deve presentare una casella di controllo specifica e non selezionata per il consenso alle comunicazioni di marketing. Deve indicare chiaramente quali dati state raccogliendo, perché e per quanto tempo li conserverete. I termini di servizio devono essere accessibili prima che l'ospite si autentichi. E dovete essere in grado di dimostrare, su richiesta, che una specifica persona ha fornito il consenso in una data e ora specifiche. Purple è certificata ISO 27001, conforme al GDPR, conforme al CCPA e certificata Cyber Essentials. Ogni evento di accesso viene registrato con timestamp, indirizzo IP e record del consenso. Questa traccia di audit è ciò che vi protegge se un'autorità di regolamentazione pone domande. [medium pause] Sezione cinque: gestione della larghezza di banda. Su Starlink, la larghezza di banda è la vostra risorsa più limitata. Un singolo passeggero che riproduce video in streaming in 4K può consumare 25 megabit al secondo in modo continuo. Su una nave con 50 passeggeri e una connessione da 220 megabit, si tratta di una sola persona che consuma l'11% della capacità totale. Dovete affrontare questo problema a livello di Captive Portal e di router. Impostate limiti di larghezza di banda per dispositivo, ad esempio 5 megabit in download e 2 megabit in upload per dispositivo ospite. Implementate politiche di utilizzo corretto che limitino la velocità dopo una quota di dati giornaliera. Utilizzate il Traffic Shaping per dare priorità alla navigazione web e alla messaggistica rispetto allo streaming video. E prendete in considerazione l'accesso a livelli: un livello gratuito per la connettività di base, un livello premium a pagamento per lo streaming. Questo converte il vostro WiFi da una voce di costo a una fonte di guadagno. [medium pause] Ora vi presento due scenari reali. Scenario uno: una nave da crociera da 120 cabine. L'operatore utilizza Starlink Maritime a 220 megabit. Distribuisce access point Cisco Meraki su tutta la nave con tre VLAN: equipaggio, passeggeri e sistemi di bordo. Il Captive Portal di Purple gestisce l'autenticazione dei passeggeri tramite e-mail o ricerca del numero di cabina integrata con il PMS. Ciascun passeggero riceve una quota giornaliera di 2 gigabyte. I passeggeri di livello Premium ottengono 10 gigabyte. Il portale raccoglie dati e-mail di prima parte per il marketing post-viaggio. Risultato: i ricavi del WiFi coprono il costo dell'abbonamento a Starlink e l'operatore dispone di un elenco di marketing diretto in crescita. Scenario due: un hotel remoto nelle Highlands senza fibra. Utilizzano Starlink Business a 150 megabit di media. Gli access point HPE Aruba coprono l'edificio principale e tre annessi. Gli ospiti si autenticano tramite e-mail sul portale di Purple. L'hotel utilizza l'analitica di Purple per comprendere gli orari di picco di utilizzo e adegua di conseguenza le politiche di larghezza di banda. Hanno ridotto i reclami sul WiFi degli ospiti del 60% rispetto alla loro precedente configurazione di bonding 4G, secondo i loro dati operativi. [medium pause] Errori comuni. Permettetemi di passare in rassegna i cinque che vedo più spesso. Uno: dimenticare di riabilitare la Bypass Mode dopo un ripristino della parabola. Documentate questo aspetto nel vostro manuale operativo e impostate un avviso di monitoraggio sull'interfaccia WAN del vostro router. Due: non bloccare il routing inter-VLAN. In ogni installazione che ho esaminato e che ha avuto un incidente di sicurezza, questo aspetto era configurato in modo errato. Controllatelo due volte. Tre: utilizzare il reindirizzamento HTTP per il Captive Portal su una rete in cui gli ospiti utilizzano browser che preferiscono l'HTTPS. I browser moderni utilizzano HTTPS per impostazione predefinita. Il vostro router deve gestire correttamente l'intercettazione HTTPS, altrimenti gli ospiti vedranno errori di certificato prima di raggiungere il portale. Il portale di Purple gestisce questo aspetto, ma la configurazione del vostro router deve essere corretta. Quattro: non eseguire test separati su iOS e Android. Il Captive Network Assistant di Apple e il probe di rete di Android si comportano in modo diverso. Testateli entrambi prima della messa in servizio. Cinque: ignorare la latenza. La costellazione LEO di Starlink offre una latenza da 20 a 40 millisecondi, di gran lunga migliore rispetto ai tradizionali satelliti geostazionari. Ma durante i passaggi di consegna tra satelliti, si possono verificare brevi picchi. Le impostazioni di timeout del vostro Captive Portal devono tenerne conto. Impostate gli intervalli di keepalive della sessione a 60 secondi o meno. [medium pause] Domande a raffica. Ho bisogno di un IP statico per un Captive Portal su Starlink? No, se il vostro portale utilizza un'architettura ospitata in cloud con tunnel inverso. Sì, se eseguite un RADIUS in loco. Posso gestire più SSID su Starlink? Sì, i vostri access point aziendali gestiscono la creazione degli SSID. Starlink in Bypass Mode fornisce solo l'uplink. Potete gestire tutti gli SSID supportati dai vostri access point. Purple funziona con Starlink all'istante? Sì. Configurate la Bypass Mode sulla parabola Starlink, collegate i vostri access point supportati e indirizzate l'integrazione RADIUS o API verso il cloud di Purple. Il portale è attivo entro un'ora. Cosa succede se la connessione Starlink si interrompe? Il portale di Purple memorizza nella cache le sessioni attive localmente sul router per un periodo configurabile, in genere 24 ore. Gli ospiti già autenticati rimangono online. Le nuove autenticazioni vengono messe in coda fino al ripristino della connettività. [medium pause] Per riassumere. Starlink fornisce la connessione. Il vostro router aziendale in Bypass Mode vi offre il controllo del livello di routing. La segmentazione VLAN isola il traffico dei vostri ospiti, del personale e dell'IoT. Un Captive Portal in cloud, in questo caso quello di Purple, gestisce l'autenticazione, il consenso GDPR, la politica della larghezza di banda e la raccolta di dati di prima parte. Il vincolo del CGNAT viene risolto dall'architettura a tunnel inverso, non dall'IP statico. E la gestione della larghezza di banda a livello di portale è ciò che mantiene la vostra connessione Starlink utilizzabile per tutti. Se state valutando questa soluzione per la vostra sede, il passo successivo consiste nel verificare quale hardware di access point state utilizzando (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet) e confermare la documentazione di integrazione di Purple per quella piattaforma. Potete trovare la guida tecnica completa su purple.ai e il team di Purple può guidarvi attraverso una configurazione di prova per il vostro sito specifico. Grazie per l'ascolto. Ci vediamo al prossimo briefing.