Vai al contenuto principale

Come configurare un Captive Portal su Starlink: una guida per sedi remote e marittime

Questa guida spiega in dettaglio come escludere l'hardware Starlink nativo e integrare un captive portal gestito in cloud utilizzando apparecchiature di routing enterprise. Imparerete a superare il limite del CGNAT, applicare la segmentazione VLAN, gestire i vincoli di larghezza di banda satellitare e garantire la conformità normativa.

📖 5 minuti di lettura📝 1,227 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Parla in inglese britannico con un tono sicuro, autorevole e colloquiale - come un consulente senior che fa un briefing con un cliente. Ritmo misurato, articolazione chiara, caloroso ma professionale. Nessuna parola di riempimento. Occasionali brevi pause per enfatizzare i passaggi chiave: Benvenuti al briefing tecnico di Purple. Oggi vi guiderò attraverso tutto ciò che c'è da sapere sulla configurazione di un captive portal su Starlink - specificamente per location remote, operatori marittimi e chiunque offra WiFi per gli ospiti dove la fibra non è un'opzione praticabile. [pausa media] Cominciamo dal problema. Starlink ha davvero rivoluzionato il panorama della connettività per quelle location che prima erano costrette a usare connessioni satellitari lente e costose o un 4G instabile. Una nave da crociera, un hotel di montagna isolato, un container per il benessere del personale in un cantiere, l'area di un festival in mezzo a un prato - tutti questi scenari possono ora ottenere da 100 a 220 megabit al secondo da un'antenna grande quanto una pizza gigante. È straordinario. Ma c'è un punto fondamentale: la connettività pura e semplice è solo metà dell'opera. Nel momento in cui mettete quella connessione a disposizione di ospiti, passeggeri o dell'equipaggio, avrete bisogno di autenticazione, controllo degli accessi, consenso conforme al GDPR e gestione della larghezza di banda. Starlink non offre nulla di tutto questo di serie. Ed è qui che entra in gioco un captive portal. Ed è proprio questo che andremo a configurare oggi. [pausa media] Sezione uno: comprendere i vincoli di rete di Starlink. Prima di toccare un router, dovete capire cosa vi fornisce effettivamente Starlink sull'interfaccia WAN. L'antenna Starlink standard si collega a un router proprietario che gestisce DHCP e NAT. Per impostazione predefinita, vi trovate dietro a un NAT di tipo carrier-grade - quello che gli ingegneri chiamano CGNAT. Ciò significa che il vostro indirizzo IP WAN rientra nell'intervallo da 100.64 a 100.127. Non è un IP pubblico. Non potete ricevere connessioni in entrata da internet. E questo ha un impatto enorme sull'architettura del captive portal. La soluzione è la modalità bypass - a volte chiamata modalità bridge. Potete abilitarla nell'app Starlink sotto Impostazioni, attivando l'opzione "Bypass Starlink WiFi router". Una volta abilitata, l'antenna Starlink trasmette l'indirizzo CGNAT direttamente alla porta WAN del vostro router aziendale. Il router Starlink smette di gestire DHCP e NAT. Il vostro router prende il controllo. Sarete ancora dietro a CGNAT, ma ora avrete il controllo completo del livello di routing. Un punto critico: se l'antenna Starlink viene ripristinata alle impostazioni di fabbrica per qualsiasi motivo, la modalità bypass si disattiva. Dovrete riabilitarla. Inserite questo passaggio nel manuale operativo del vostro sito. [pausa media] Ora, Starlink offre tre piani tariffari rilevanti per i gestori delle location. Standard offre fino a 100 megabit in download, priorità "best-effort" e nessuna opzione di IP statico. Business offre fino a 220 megabit, allocazione prioritaria dei dati e l'opzione per un IP statico aggiuntivo. Maritime offre le stesse velocità con portabilità globale - fondamentale se l'imbarcazione si sposta tra diverse regioni oceaniche. Per qualsiasi location multi-utente, consiglio come minimo Business o Maritime. I dati "best-effort" del piano Standard significano che il traffico dei vostri ospiti perderà priorità ogni volta che la cella satellitare sarà congestionata. [pausa media] Seconda sezione: lo stack dell'architettura. Ecco lo stack a quattro livelli che andrai a costruire. Il livello uno è l'uplink Starlink in bypass mode. Il livello due è il tuo router o firewall enterprise - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Fortinet - ognuno di questi va bene. Il livello tre è la segmentazione VLAN a livello di switch o access point. Il livello quattro è il Captive Portal in cloud, che gestisce autenticazione, consenso e analytics. Vorrei soffermarmi un attimo sulla segmentazione VLAN perché non è negoziabile. Hai bisogno di almeno tre VLAN. La VLAN 10 per lo staff - questa trasporta i tuoi sistemi POS, le applicazioni di back-office e il traffico di gestione. La VLAN 20 per gli ospiti - questo è il segmento di solo internet che reindirizza al Captive Portal. La VLAN 30 per l'IoT - telecamere, termostati intelligenti, sistemi di gestione dell'edificio. Queste tre reti non devono essere in grado di comunicare tra loro. Il routing inter-VLAN deve essere bloccato a livello di firewall. Un ospite sulla VLAN 20 non deve mai essere in grado di raggiungere il tuo terminale POS sulla VLAN 10. Questa non è solo una buona pratica - è un requisito PCI-DSS se elabori pagamenti con carta in qualsiasi punto della stessa infrastruttura fisica. [medium pause] Il Captive Portal stesso risiede nel cloud. Quando un ospite si connette al tuo SSID ospite e apre un browser, il router intercetta la richiesta HTTP e la reindirizza alla pagina di login del portale. L'ospite si autentica - tramite email, social login o un codice voucher - accetta i tuoi termini di servizio, e il portale segnala al router di concedere l'accesso a internet a quell'indirizzo MAC. L'intero flusso dovrebbe completarsi in meno di 10 secondi su un dispositivo mobile. Con Purple, quel portale in cloud si integra direttamente con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Configuri l'integrazione RADIUS o API una sola volta, e Purple gestisce l'handshake di autenticazione. Nessun server di autenticazione on-premises richiesto. Questo è fondamentale per le sedi remote in cui non è possibile eseguire un server RADIUS locale. [medium pause] Terza sezione: il problema del CGNAT e come risolverlo. Ecco la sfida che coglie di sorpresa la maggior parte dei team IT. Le architetture standard di Captive Portal presuppongono che il portale in cloud possa accedere a ritroso alla tua rete. Con il CGNAT, questo è impossibile. Le connessioni in entrata sono bloccate. La soluzione è un tunnel inverso. Il tuo router stabilisce una connessione in uscita verso il portale in cloud e la mantiene aperta in modo persistente. Tutto il traffico di autenticazione scorre attraverso quel tunnel. Il cloud non ha mai bisogno di avviare una connessione in entrata. L'architettura cloud overlay di Purple gestisce questo aspetto in modo nativo - non è necessario configurare manualmente WireGuard o OpenVPN, sebbene entrambi siano valide alternative se gestisci la tua infrastruttura.Se hai effettivamente bisogno di un IP statico - ad esempio, se utilizzi un server RADIUS in loco o se hai bisogno di un allowlisting IP coerente - Starlink Business e Maritime offrono un IP statico come componente aggiuntivo. Al momento della registrazione, questo è disponibile nella maggior parte delle regioni. Controlla le pagine dei piani attuali di Starlink per il tuo territorio specifico. [medium pause] Sezione quattro: GDPR e conformità dei dati. Questo è il punto in cui le sedi remote e marittime spesso vengono colte di sorpresa. Il fatto che la tua sede si trovi su una nave in acque internazionali, o in una posizione remota, non ti esenta dal GDPR se raccogli dati da residenti nell'UE. E se operi in acque del Regno Unito dopo la Brexit, si applica il UK GDPR. Il tuo Captive Portal deve presentare una casella di controllo specifica e non selezionata per il consenso alle comunicazioni di marketing. Deve indicare chiaramente quali dati stai raccogliendo, perché e per quanto tempo li conserverai. I termini di servizio devono essere accessibili prima che l'ospite si autentichi. E devi essere in grado di dimostrare, su richiesta, che un individuo specifico ha fornito il consenso in una data e in un'ora specifiche. Purple è certificato ISO 27001, conforme al GDPR, conforme al CCPA e certificato Cyber Essentials. Ogni evento di accesso viene registrato con un timestamp, un indirizzo IP e un record di consenso. Questa traccia di controllo è ciò che ti protegge se un'autorità di regolamentazione pone domande. [medium pause] Sezione cinque: gestione della larghezza di banda. Su Starlink, la larghezza di banda è la tua risorsa più limitata. Un singolo passeggero che trasmette video in 4K può consumare 25 megabit al secondo continuamente. Su una nave con 50 passeggeri e una connessione a 220 megabit, si tratta di una sola persona che consuma l'11% della capacità totale. Puoi risolvere questo problema a livello di Captive Portal e router. Imposta limiti di larghezza di banda per dispositivo - ad esempio, 5 megabit in download e 2 megabit in upload per dispositivo ospite. Implementa policy di utilizzo corretto che riducono la velocità dopo una quota di dati giornaliera. Utilizza il traffic shaping per dare priorità alla navigazione web e alla messaggistica rispetto allo streaming video. E considera l'accesso a livelli: un livello gratuito per la connettività di base, un livello premium a pagamento per lo streaming. Ciò trasforma il tuo WiFi da un costo a una fonte di ricavo. [medium pause] Ora lascia che ti presenti due scenari reali. Scenario uno: una nave da crociera con 120 cabine. L'operatore utilizza Starlink Maritime a 220 megabit. Distribuisce access point Cisco Meraki in tutta la nave con tre VLAN - equipaggio, passeggeri e sistemi di bordo. Il Captive Portal di Purple gestisce l'autenticazione dei passeggeri tramite e-mail o ricerca del numero di cabina integrata con il PMS. Ogni passeggero riceve una quota giornaliera di 2 gigabyte. I passeggeri del livello premium ricevono 10 gigabyte. Il portale raccoglie dati e-mail di prima parte per il marketing post-viaggio. Risultato: le entrate del WiFi coprono il costo dell'abbonamento Starlink e l'operatore dispone di un elenco di marketing diretto in continua crescita. Scenario due: un hotel remoto nelle Highland senza fibra. Utilizzano Starlink Business a una media di 150 megabit. Gli access point HPE Aruba coprono l'edificio principale e tre dependance. Gli ospiti si autenticano tramite email sul portale di Purple. L'hotel utilizza gli analytics di Purple per comprendere gli orari di picco e adegua di conseguenza le policy di larghezza di banda. Hanno ridotto i reclami sul WiFi degli ospiti del 60% rispetto alla loro precedente configurazione di bonding 4G, secondo i loro dati operativi. [medium pause] Errori comuni. Vi illustro i cinque che vedo più spesso. Uno: dimenticare di riattivare la modalità bypass dopo il riavvio della parabola. Documentate questo passaggio nel vostro runbook e impostate un avviso di monitoraggio sull'interfaccia WAN del router. Due: non bloccare il routing inter-VLAN. Ogni installazione che ho esaminato con problemi di sicurezza presentava questa errata configurazione. Controllatela due volte. Tre: utilizzare il reindirizzamento HTTP per il Captive Portal su una rete in cui gli ospiti utilizzano browser che prediligono l'HTTPS. I browser moderni utilizzano l'HTTPS come impostazione predefinita. Il router deve gestire correttamente l'intercettazione HTTPS, altrimenti gli ospiti visualizzeranno errori di certificato prima di raggiungere il portale. Il portale di Purple gestisce questo aspetto, ma la configurazione del router deve essere corretta. Quattro: non effettuare test separati su iOS e Android. Il Captive Network Assistant di Apple e il probe di rete di Android si comportano in modo diverso. Testateli entrambi prima del lancio. Cinque: ignorare la latenza. La costellazione LEO di Starlink offre una latenza da 20 a 40 millisecondi - di gran lunga migliore rispetto al tradizionale satellite geostazionario. Ma durante i passaggi da un satellite all'altro, si possono verificare brevi picchi. Le impostazioni di timeout del vostro Captive Portal devono tenerne conto. Impostate gli intervalli di sessione keepalive a 60 secondi o meno. [medium pause] Domande rapide. Ho bisogno di un IP statico per un Captive Portal su Starlink? No, se il portale utilizza un'architettura ospitata in cloud con reverse tunnelling. Sì, se si utilizza un RADIUS on-premises. Posso gestire più SSID su Starlink? Sì - i vostri access point aziendali gestiscono la creazione degli SSID. Starlink in modalità bypass fornisce semplicemente l'uplink. È possibile gestire tutti gli SSID supportati dagli access point. Purple funziona con Starlink fin da subito? Sì. Si configura la modalità bypass sulla parabola Starlink, si collegano gli access point supportati e si punta l'integrazione RADIUS o API verso il cloud di Purple. Il portale è attivo entro un'ora. Cosa succede se la connessione Starlink si interrompe? Il portale di Purple memorizza nella cache locale del router le sessioni attive per un periodo configurabile - in genere 24 ore. Gli ospiti già autenticati rimangono online. Le nuove autenticazioni vengono messe in coda fino al ripristino della connettività. [medium pause] Per riassumere. Starlink fornisce la connessione. Il router aziendale in bypass mode offre il controllo del routing. La segmentazione VLAN isola il traffico di ospiti, personale e dispositivi IoT. Un Captive Portal in cloud - in questo caso quello di Purple - gestisce l'autenticazione, il consenso GDPR, i criteri di larghezza di banda e la raccolta di dati di prima parte. Il limite del CGNAT viene risolto da un'architettura a tunnel inverso, non da un IP statico. E la gestione della larghezza di banda a livello di portale è ciò che mantiene la connessione Starlink utilizzabile per tutti. Se stai valutando questa soluzione per la tua sede, il passo successivo consiste nel verificare quale hardware per access point stai utilizzando - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - e confermare la documentazione di integrazione di Purple per quella piattaforma. Puoi trovare la guida tecnica completa su purple.ai, e il team di Purple può guidarti attraverso una configurazione proof-of-concept per il tuo sito specifico. Grazie per l'attenzione. Ci vediamo al prossimo briefing.

header_image.png

Sintesi Esecutiva

Starlink fornisce una connettività a 220 Mbps in località non raggiunte dalla fibra, cambiando completamente lo scenario di rete per le strutture remote e marittime. Tuttavia, per gli ambienti aperti al pubblico, la sola connettività non è sufficiente. Quando si distribuisce Starlink per ospiti, passeggeri o equipaggio, è necessario implementare l'autenticazione, il controllo degli accessi, il consenso conforme al GDPR e la gestione della larghezza di banda. Il router Starlink nativo non fornisce nessuna di queste funzionalità.

Questa guida spiega in dettaglio come escludere l'hardware Starlink nativo e integrare un Captive Portal gestito in cloud utilizzando apparecchiature di routing aziendali. Imparerete a superare le limitazioni del Carrier Grade NAT (CGNAT), a implementare la segmentazione VLAN, a gestire i vincoli di larghezza di banda del satellite e a garantire la conformità normativa.

Implementando questa architettura, i gestori delle strutture trasformano una linea internet non gestita in una rete sicura e segmentata che acquisisce dati di prima parte e protegge l'infrastruttura aziendale principale.

Approfondimento Tecnico

Il Vincolo del CGNAT

Il principale ostacolo tecnico quando si distribuisce un Captive Portal su Starlink è il Carrier Grade NAT (CGNAT). L'antenna Starlink standard si collega a un router proprietario che gestisce DHCP e NAT. Per impostazione predefinita, l'indirizzo IP WAN assegnato alle apparecchiature rientra nell'intervallo 100.64.0.0/10. Poiché non si tratta di un indirizzo IP pubblico, il router non può ricevere connessioni in entrata da internet.

Le architetture standard di Captive Portal spesso presuppongono che il portale cloud possa comunicare a ritroso con la rete per autenticare gli utenti o aggiornare gli elenchi di controllo degli accessi. Con il CGNAT, le connessioni in entrata falliscono.

Per risolvere questo problema, è necessario configurare l'antenna Starlink in Bypass Mode (spesso definita modalità bridge). In Bypass Mode, le funzioni del router Starlink vengono disabilitate e l'antenna invia l'indirizzo CGNAT direttamente alla porta WAN del router aziendale. Il router aziendale assume quindi il controllo completo del livello di routing.

architecture_overview.png

Architettura a Tunnel Inverso

Anche con il router aziendale che gestisce il traffico, la restrizione in entrata del CGNAT rimane. La soluzione è un'architettura a tunnel inverso. Il router stabilisce una connessione in uscita verso il portale cloud e la mantiene continuamente. Tutto il traffico di autenticazione scorre attraverso questo tunnel stabilito. L'infrastruttura cloud non ha mai bisogno di avviare una connessione in entrata. L'architettura overlay in cloud di Purple gestisce questo aspetto in modo nativo. Non è necessario configurare tunnel VPN manuali. Se la vostra implementazione richiede un IP statico per i server RADIUS legacy on-premises o un rigoroso inserimento di IP in allowlist, i piani Starlink Business e Maritime forniscono un IP statico come add-on a pagamento.

Limitazioni di Banda e Traffic Shaping

La banda satellitare è una risorsa condivisa e finita. Un singolo utente che guarda video in streaming in 4K può consumare continuamente 25 Mbps. Su un'imbarcazione con 50 passeggeri che condividono una connessione Starlink da 220 Mbps, un solo utente potrebbe consumare l'11% della capacità totale.

È necessario affrontare questo problema a livello di Captive Portal e di router attraverso un traffic shaping aggressivo:

  • Limiti per dispositivo: limitare i singoli dispositivi degli ospiti a 5 Mbps in download e 2 Mbps in upload.
  • Politiche di utilizzo corretto: applicare soglie di traffico dati giornaliere (ad es. 2GB ogni 24 ore).
  • Controllo delle applicazioni: dare la priorità alla navigazione web e ai protocolli di messaggistica rispetto allo streaming video e alla condivisione di file peer-to-peer.
  • Accesso a più livelli: fornire un livello gratuito per la connettività di base e un livello premium a pagamento per lo streaming, trasformando l'infrastruttura WiFi da un centro di costo a una fonte di ricavo.

comparison_chart.png

Guida all'Implementazione

Seguite questi passaggi per distribuire un Captive Portal sicuro su Starlink utilizzando hardware enterprise.

Passaggio 1: Abilitare la Modalità Bypass

  1. Installare l'hardware Starlink e verificare la connettività utilizzando il router originale.
  2. Aprire l'applicazione mobile Starlink e andare su Settings.
  3. Selezionare e confermare Bypass Starlink WiFi router.
  4. Collegare lo Starlink Ethernet Adapter alla porta WAN del router enterprise (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet).

Nota: se la parabola Starlink subisce un ripristino delle impostazioni di fabbrica, la modalità Bypass viene disattivata automaticamente. Documentate questo aspetto nel manuale operativo del sito e configurate un avviso di monitoraggio sull'interfaccia WAN del router.

Passaggio 2: Configurare la Segmentazione VLAN

È necessario isolare il traffico degli ospiti dai sistemi aziendali principali. Configurate almeno tre VLAN sullo switch principale e sugli access point:

  • VLAN 10 (Personale): trasporta i sistemi POS, le applicazioni di back-office e il traffico di gestione.
  • VLAN 20 (Ospiti): segmento di sola navigazione Internet che reindirizza al Captive Portal.
  • VLAN 30 (IoT): rete isolata per telecamere, termostati intelligenti e sistemi di gestione dell'edificio.

Configurate le regole del firewall per bloccare tutto il routing inter-VLAN. Un dispositivo ospite sulla VLAN 20 non deve mai essere in grado di effettuare un ping verso un terminale POS sulla VLAN 10. Questa segmentazione è un requisito rigoroso per la conformità PCI-DSS.

Passaggio 3: Distribuire il Cloud Captive Portal

  1. Configurare gli access point per trasmettere l'SSID ospite sulla VLAN 20.
  2. Impostare il metodo di autenticazione su RADIUS esterno o utilizzare l'integrazione API del fornitore.3. Indirizza il server di autenticazione verso l'infrastruttura cloud di Purple.
  3. Configura il walled garden (allowlist) per consentire il traffico verso i domini di Purple prima che l'autenticazione sia completata.
  4. Progetta la splash page nel portale Purple, assicurando che il branding sia in linea con il tuo locale e che i termini di servizio siano chiaramente visibili.

Passaggio 4: Testare il flusso utente

Testa il flusso di autenticazione su dispositivi iOS e Android. Il Captive Network Assistant (CNA) di Apple e il probe di rete di Android si comportano in modo diverso. Verifica che la splash page si carichi entro 10 secondi e che il dispositivo ottenga l'accesso a internet subito dopo l'autenticazione.

Best Practice

  • Intercettazione HTTPS: Assicurati che il tuo router gestisca correttamente l'intercettazione HTTPS. I dispositivi moderni utilizzano HTTPS per impostazione predefinita. Se il router non riesce a reindirizzare le richieste HTTPS in modo pulito, gli ospiti riscontreranno errori di certificato prima di raggiungere il portale.
  • Session Keepalive: La costellazione in orbita terrestre bassa (LEO) di Starlink offre latenze comprese tra 20 e 40 millisecondi, ma si verificano brevi picchi durante i passaggi di consegna dei satelliti. Imposta l'intervallo di session keepalive del tuo Captive Portal a un valore pari o inferiore a 60 secondi per evitare disconnessioni premature.
  • Caching Offline: Configura il tuo router per memorizzare nella cache locale le sessioni attive. Se la connessione Starlink si interrompe temporaneamente, gli ospiti già autenticati rimarranno online al ripristino della connettività, invece di essere costretti a effettuare nuovamente l'accesso.

Risoluzione dei problemi e mitigazione dei rischi

Modalità di errore Causa principale Mitigazione
Il Captive Portal non si carica Configurazione errata del walled garden Verifica che tutti i domini Purple richiesti e gli endpoint CDN siano aggiunti alla allowlist di pre-autenticazione sul router.
Errori di Double NAT Bypass Mode disattivata Controlla l'app Starlink per confermare che la Bypass Mode sia attiva. Sbalzi di tensione o ripristini manuali potrebbero aver riportato la parabola alle impostazioni predefinite.
Velocità ridotta degli ospiti Banda non limitata Applica limiti di larghezza di banda per singolo dispositivo (ad esempio, 5 Mbps) e blocca sul firewall le applicazioni ad alto consumo di banda come BitTorrent.
Fallimento dell'audit di sicurezza Routing inter-VLAN abilitato Controlla le regole del firewall per assicurarti che il traffico proveniente dalla VLAN ospiti non possa essere instradato verso la VLAN del personale o di gestione.

ROI e impatto sul business

La distribuzione di un Captive Portal gestito su Starlink trasforma una connessione internet grezza in una risorsa aziendale misurabile.

Per una nave da crociera da 120 cabine che utilizza Starlink Maritime a 220 Mbps, l'accesso non gestito produce zero ritorni commerciali. Distribuendo gli access point Cisco Meraki e il Captive Portal di Purple, l'operatore può imporre una soglia giornaliera di 2 GB per i passeggeri standard, vendendo al contempo un pacchetto premium da 10 GB. Le entrate derivanti dal WiFi coprono i costi di abbonamento mensili a Starlink di oltre 250 dollari. Inoltre, il portale acquisisce dati e-mail di prima parte in totale conformità con le normative, ampliando l'elenco di marketing diretto dell'operatore per i viaggi futuri.In un hotel situato in una posizione remota, l'implementazione di un portale con policy rigorose sulla larghezza di banda riduce i reclami degli ospiti relativi alla lentezza del WiFi fino al 60%, poiché si impedisce agli utenti con un consumo elevato di monopolizzare il collegamento satellitare.

"

Definizioni chiave

Bypass Mode

Un'impostazione di configurazione che disabilita le funzioni DHCP e NAT del router Starlink nativo, trasmettendo l'IP WAN direttamente a un router enterprise di terze parti.

Necessario quando si integrano apparecchiature di rete enterprise con un'antenna Starlink per evitare il doppio NAT e conflitti di routing.

CGNAT (Carrier Grade NAT)

Un metodo utilizzato dagli ISP per condividere un unico indirizzo IP pubblico tra più clienti. Il router del cliente riceve un indirizzo IP privato (tipicamente 100.64.0.0/10).

Starlink utilizza CGNAT per impostazione predefinita, il che impedisce le connessioni in entrata da internet e richiede architetture a tunnel inverso per la gestione in cloud.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa una collezione di dispositivi provenienti da diverse LAN fisiche.

Utilizzato per isolare il traffico WiFi degli ospiti dalla rete del personale e dai dispositivi IoT, garantendo sicurezza e conformità.

Captive Portal

Una pagina web che un utente di una rete ad accesso pubblico è obbligato a visualizzare e con cui deve interagire prima che venga concesso l'accesso a internet.

Utilizzato per applicare i termini di servizio, raccogliere dati di marketing e autenticare gli utenti sulle reti WiFi ospiti.

Walled Garden

Un ambiente limitato che controlla l'accesso dell'utente a contenuti e servizi web prima che si sia completamente autenticato.

Necessario per consentire ai dispositivi degli ospiti di raggiungere il captive portal in cloud e i server di autenticazione prima che venga concesso l'accesso completo a internet.

RADIUS

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA - Authentication, Authorisation, and Accounting) per gli utenti che si connettono e utilizzano un servizio di rete.

Il protocollo sottostante utilizzato dagli access point enterprise per comunicare con il captive portal in cloud per verificare le credenziali dell'utente.

Traffic Shaping

La manipolazione e la prioritizzazione del traffico di rete per ridurre l'impatto degli utenti ad alto consumo o delle applicazioni sensibili alla latenza.

Essenziale sulle reti Starlink per dare priorità alla navigazione web rispetto ad attività ad alta intensità di banda come lo streaming video.

Dati di prima parte

Informazioni che un'azienda raccoglie direttamente dai propri clienti e di cui è proprietaria.

Raccolti tramite il processo di accesso al captive portal (ad es. indirizzi email) e utilizzati per campagne di marketing diretto e fidelizzazione.

Esempi pratici

Una nave da crociera con 120 cabine che utilizza Starlink Maritime a 220 Mbps deve fornire il WiFi ai passeggeri senza compromettere le operazioni di bordo. È necessario un meccanismo per monetizzare la connessione e raccogliere dati di marketing.

L'operatore distribuisce access point Cisco Meraki in tutta la nave con tre VLAN rigorose: equipaggio, passeggeri e sistemi di bordo. Il captive portal di Purple gestisce l'autenticazione dei passeggeri tramite email o ricerca del numero di cabina integrata con il PMS. Ogni passeggero riceve una quota giornaliera di 2GB. I passeggeri della categoria premium possono acquistare un pacchetto da 10GB. Il portale raccoglie i dati email di prima parte per le attività di marketing successive al viaggio.

Commento dell'esaminatore: Questo approccio risolve il problema dei limiti di banda tramite soglie giornaliere rigide, generando al contempo ricavi diretti. La segmentazione VLAN garantisce che il traffico dei passeggeri non possa compromettere i sistemi critici della nave. L'integrazione con il PMS offre un'esperienza di accesso fluida e senza attriti.

Un hotel in una remota località montana privo di infrastruttura in fibra utilizza Starlink Business a 150 Mbps. Gli ospiti si lamentano costantemente della lentezza della rete durante le ore serali e l'hotel non ha visibilità su chi stia utilizzando la rete.

L'hotel distribuisce access point HPE Aruba nell'edificio principale e nelle dependance. Configura l'antenna Starlink in Bypass Mode e la collega a un gateway Aruba. Gli ospiti si autenticano tramite email sul portale Purple. L'hotel applica un limite di banda rigoroso di 5 Mbps per dispositivo e utilizza le analisi di Purple per monitorare i picchi di utilizzo.

Commento dell'esaminatore: Implementando la limitazione della banda per singolo dispositivo, l'hotel evita che i singoli ospiti monopolizzino la connessione da 150 Mbps durante le ore di punta serali. L'autenticazione tramite email acquisisce dati di prima parte per future campagne di prenotazione diretta, riducendo la dipendenza dalle OTA.

Domande di esercitazione

Q1. Un campo minerario remoto ha implementato Starlink Business. Ha collegato un firewall Cisco Meraki MX al router Starlink. Gli ospiti possono connettersi al WiFi, ma la pagina del captive portal va in timeout e non si carica. Qual è la causa più probabile?

Suggerimento: Considera come l'hardware Starlink gestisce il routing per impostazione predefinita e cosa richiede il firewall Meraki per gestire il traffico in modo efficace.

Visualizza risposta modello

La parabola Starlink non è stata impostata in Bypass Mode. Di conseguenza, la rete risente di un doppio NAT (il router Starlink e il firewall Meraki stanno entrambi tentando di eseguire la Network Address Translation). L'amministratore deve utilizzare l'app Starlink per abilitare la Bypass Mode, consentendo al firewall Meraki di ricevere direttamente l'IP CGNAT e gestire il routing e l'intercettazione del captive portal.

Q2. Stai implementando un captive portal per un hotel che utilizza Starlink. Hai configurato la Bypass Mode e la segmentazione VLAN. Durante i test, noti che i dispositivi Apple richiedono all'utente di accedere immediatamente, ma alcuni dispositivi Android mostrano un errore di certificato quando l'utente tenta di navigare su un sito web sicuro prima di autenticarsi. Come risolvi il problema?

Suggerimento: Pensa a come i browser moderni gestiscono le richieste di connessione iniziale e a cosa deve fare il router per intercettarle in modo pulito.

Visualizza risposta modello

Il router aziendale non è configurato per gestire correttamente l'intercettazione HTTPS per il reindirizzamento al captive portal. I browser moderni utilizzano HTTPS per impostazione predefinita. Quando l'utente tenta di visitare un sito HTTPS prima di autenticarsi, il router intercetta il traffico e presenta il proprio certificato, che il browser rifiuta in quanto non valido. È necessario assicurarsi che le impostazioni del captive portal del router siano configurate per utilizzare un certificato SSL valido per il reindirizzamento, oppure affidarsi alle sonde di rete a livello di sistema operativo (come il CNA di Apple) che utilizzano endpoint HTTP per attivare automaticamente il portale.

Q3. Un operatore marittimo si lamenta del fatto che la propria connessione Starlink Maritime (220 Mbps) diventa inutilizzabile ogni sera. Attualmente fornisce una rete ospiti aperta e senza password. Quali tre configurazioni specifiche dovresti implementare sul router aziendale e sul captive portal per risolvere questo problema?

Suggerimento: Concentrati sul controllo della quantità di dati che i singoli utenti possono consumare e sulla priorità dei tipi di traffico critici.

Visualizza risposta modello
  1. Implementare un captive portal che richieda l'autenticazione per monitorare e gestire i singoli utenti. 2. Applicare limiti di larghezza di banda per dispositivo (ad es. 5 Mbps in download / 2 Mbps in upload) per evitare che un singolo utente monopolizzi la connessione. 3. Applicare regole di traffic shaping sul firewall per dare priorità alla navigazione web e ai protocolli di messaggistica, limitando o bloccando al contempo le applicazioni ad alta larghezza di banda come lo streaming video e la condivisione di file P2P.