Como Configurar um Captive Portal no Starlink: Um Guia para Locais Remotos e Marítimos
Este guia detalha como contornar o hardware nativo do Starlink e integrar um captive portal gerenciado em nuvem usando equipamentos de roteamento corporativos. Você aprenderá como superar a limitação de CGNAT, aplicar a segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Visão Técnica Detalhada
- A Restrição do CGNAT
- Arquitetura de Túnel Reverso
- Restrições de Largura de Banda e Controle de Tráfego
- Guia de Implementação
- Etapa 1: Ativar o Modo Bypass
- Etapa 2: Configurar a Segmentação de VLAN
- Etapa 3: Implantar o Captive Portal em Nuvem
- Passo 4: Testar o Fluxo do Usuário
- Melhores Práticas
- Solução de Problemas e Mitigação de Riscos
- Retorno sobre o Investimento (ROI) e Impacto nos Negócios

Resumo Executivo
A Starlink oferece conectividade de até 220 Mbps em locais onde a fibra óptica não chega, mudando completamente o cenário de redes para locais remotos e marítimos. No entanto, para ambientes voltados ao público, a conectividade por si só não basta. Ao implantar a Starlink para convidados, passageiros ou tripulantes, é preciso implementar autenticação, controle de acesso, consentimento em conformidade com a GDPR e gerenciamento de largura de banda. O roteador nativo da Starlink não oferece nenhum desses recursos.
Este guia explica em detalhes como ignorar o hardware nativo da Starlink e integrar um Captive Portal gerenciado na nuvem usando equipamentos de roteamento corporativos. Você aprenderá a superar as limitações do Carrier Grade NAT (CGNAT), implementar segmentação de VLAN, gerenciar restrições de largura de banda de satélite e garantir a conformidade regulatória.
Ao implementar esta arquitetura, os operadores de estabelecimentos transformam um link de internet não gerenciado em uma rede segura e segmentada que captura dados primários e protege a infraestrutura de negócios principal.
Visão Técnica Detalhada
A Restrição do CGNAT
O principal obstáculo técnico ao implantar um Captive Portal na Starlink é o Carrier Grade NAT (CGNAT). A antena padrão da Starlink conecta-se a um roteador proprietário que lida com DHCP e NAT. Por padrão, o endereço IP WAN atribuído ao seu equipamento fica dentro da faixa 100.64.0.0/10. Como este não é um endereço IP público, seu roteador não pode receber conexões de entrada da internet.
As arquiteturas padrão de Captive Portal geralmente pressupõem que o portal na nuvem pode acessar sua rede de volta para autenticar usuários ou atualizar listas de controle de acesso. Com o CGNAT, as conexões de entrada falham.
Para resolver isso, você deve configurar a antena Starlink no Modo Bypass (geralmente chamado de modo bridge). No Modo Bypass, as funções do roteador Starlink são desativadas e a antena envia o endereço CGNAT diretamente para a porta WAN do seu roteador corporativo. O seu roteador corporativo assume então o controle total da camada de roteamento.

Arquitetura de Túnel Reverso
Mesmo com o roteador corporativo gerenciando o tráfego, a restrição de entrada do CGNAT permanece. A solução é uma arquitetura de túnel reverso. Seu roteador estabelece uma conexão de saída com o portal na nuvem e a mantém continuamente. Todo o tráfego de autenticação flui por esse túnel estabelecido. A infraestrutura de nuvem nunca precisa iniciar uma conexão de entrada. A arquitetura de sobreposição em nuvem da Purple gerencia isso nativamente. Você não precisa configurar túneis VPN manuais. Se a sua implantação exigir um IP estático para servidores RADIUS locais legados ou listas de permissões de IP rigorosas, os planos Starlink Business e Maritime oferecem um IP estático como um complemento pago.
Restrições de Largura de Banda e Controle de Tráfego
A largura de banda de satélite é um recurso compartilhado e finito. Um único usuário transmitindo vídeo em 4K pode consumir continuamente 25 Mbps. Em uma embarcação com 50 passageiros compartilhando uma conexão Starlink de 220 Mbps, um único usuário poderia consumir 11% da capacidade total.
Você deve resolver isso no nível do Captive Portal e do roteador por meio de um controle de tráfego agressivo:
- Limites por dispositivo: Restrinja dispositivos de convidados individuais a 5 Mbps de download e 2 Mbps de upload.
- Políticas de uso justo: Imponha limites diários de dados (por exemplo, 2 GB a cada 24 horas).
- Controle de aplicativos: Priorize a navegação na web e protocolos de mensagens em detrimento de streaming de vídeo e compartilhamento de arquivos ponto a ponto.
- Acesso em camadas: Ofereça uma camada gratuita para conectividade básica e uma camada premium paga para streaming, transformando a infraestrutura de WiFi de um centro de custo em uma fonte de receita.

Guia de Implementação
Siga estas etapas para implantar um Captive Portal seguro na Starlink usando hardware corporativo.
Etapa 1: Ativar o Modo Bypass
- Instale o hardware da Starlink e verifique a conectividade usando o roteador original.
- Abra o aplicativo móvel da Starlink e navegue até Configurações.
- Selecione e confirme Bypass Starlink WiFi router.
- Conecte o Adaptador Ethernet da Starlink à porta WAN do seu roteador corporativo (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet).
Observação: Se a antena da Starlink passar por uma reconfiguração de fábrica, o Modo Bypass será desativado automaticamente. Documente isso no manual de operações do seu site e configure um alerta de monitoramento na interface WAN do seu roteador.
Etapa 2: Configurar a Segmentação de VLAN
Você deve isolar o tráfego de convidados dos seus sistemas de negócios principais. Configure pelo menos três VLANs no seu switch principal e pontos de acesso:
- VLAN 10 (Funcionários): Transporta sistemas de PDV, aplicativos de retaguarda e tráfego de gerenciamento.
- VLAN 20 (Convidados): Segmento apenas de internet que redireciona para o Captive Portal.
- VLAN 30 (IoT): Rede isolada para câmeras, termostatos inteligentes e sistemas de gerenciamento predial.
Configure regras de firewall para bloquear todo o roteamento entre VLANs. Um dispositivo de convidado na VLAN 20 nunca deve ser capaz de pingar um terminal de PDV na VLAN 10. Essa segmentação é um requisito rigoroso para a conformidade com o PCI-DSS.
Etapa 3: Implantar o Captive Portal em Nuvem
- Configure seus pontos de acesso para transmitir o SSID de Convidados na VLAN 20.
- Defina o método de autenticação para RADIUS externo ou use a integração de API do fornecedor.3. Aponte o servidor de autenticação para a infraestrutura em nuvem do Purple.
- Configure o walled garden (lista de permissões) para permitir o tráfego para os domínios do Purple antes que a autenticação seja concluída.
- Crie a splash page no portal Purple, garantindo que o branding esteja alinhado com o seu estabelecimento e que os termos de serviço sejam exibidos claramente.
Passo 4: Testar o Fluxo do Usuário
Teste o fluxo de autenticação em dispositivos iOS e Android. O Captive Network Assistant (CNA) da Apple e o teste de rede do Android se comportam de maneira diferente. Verifique se a splash page carrega em até 10 segundos e se o dispositivo obtém acesso à internet imediatamente após a autenticação.
Melhores Práticas
- Interceptação HTTPS: Certifique-se de que seu roteador gerencie a interceptação HTTPS corretamente. Os dispositivos modernos usam HTTPS por padrão. Se o roteador não puder redirecionar as solicitações HTTPS de forma limpa, os visitantes terão erros de certificado antes de acessar o portal.
- Keepalive da Sessão: A constelação de Órbita Terrestre Baixa (LEO) da Starlink oferece latências de 20 a 40 milissegundos, mas ocorrem breves picos durante as transferências de satélite. Defina o intervalo de keepalive da sessão do seu Captive Portal para 60 segundos ou menos para evitar desconexões prematuras.
- Cache Offline: Configure seu roteador para armazenar em cache as sessões ativas localmente. Se a conexão da Starlink cair temporariamente, os visitantes que já foram autenticados permanecerão online quando a conectividade for restaurada, em vez de serem forçados a fazer login novamente.
Solução de Problemas e Mitigação de Riscos
| Modo de Falha | Causa Raiz | Mitigação |
|---|---|---|
| O Captive Portal falha ao carregar | Configuração incorreta do walled garden | Verifique se todos os domínios do Purple e endpoints de CDN necessários foram adicionados à lista de permissões de pré-autenticação no roteador. |
| Erros de NAT Duplo | O Modo Bypass está desativado | Verifique o aplicativo Starlink para confirmar se o Modo Bypass está ativo. Flutuações de energia ou reinicializações manuais podem ter restaurado a antena para as configurações padrão. |
| Velocidades lentas para visitantes | Banda ilimitada | Aplique limites de largura de banda por dispositivo (por exemplo, 5 Mbps) e bloqueie aplicativos de alta largura de banda, como BitTorrent, no firewall. |
| Falha na auditoria de segurança | O roteamento inter-VLAN está ativado | Audite as regras de firewall para garantir que o tráfego da VLAN de Visitantes não possa ser roteado para a VLAN de Funcionários ou de Gerenciamento. |
Retorno sobre o Investimento (ROI) e Impacto nos Negócios
A implantação de um Captive Portal gerenciado na Starlink transforma uma conexão de internet bruta em um ativo de negócios mensurável.
Para um navio de cruzeiro de 120 cabines executando Starlink Maritime a 220 Mbps, o acesso bruto gera zero retorno de negócios. Ao implantar pontos de acesso Cisco Meraki e o Captive Portal do Purple, a operadora pode aplicar uma franquia diária de 2 GB para passageiros padrão, enquanto vende uma categoria premium de 10 GB. A receita de WiFi resultante cobre o custo de assinatura mensal do Starlink. Além disso, o portal captura dados de e-mail de primeira parte totalmente em conformidade com a legislação, expandindo a lista de marketing direto da operadora para viagens futuras.
Em um ambiente de hotel remoto, a implantação de um portal com políticas rígidas de largura de banda reduz as reclamações dos hóspedes sobre WiFi lento em até 60%, pois evita que usuários que consomem muitos dados monopolizem o link de satélite.
Definições principais
Bypass Mode
Uma configuração que desativa as funções de DHCP e NAT do roteador nativo do Starlink, passando o IP WAN diretamente para um roteador corporativo de terceiros.
Necessário ao integrar equipamentos de rede corporativos com uma antena Starlink para evitar duplo NAT e conflitos de roteamento.
CGNAT (Carrier Grade NAT)
Um método usado por provedores de internet (ISPs) para compartilhar um único endereço IP público entre vários clientes. O roteador do cliente recebe um endereço IP privado (geralmente 100.64.0.0/10).
O Starlink usa CGNAT por padrão, o que impede conexões de entrada vindas da internet e exige arquiteturas de túnel reverso para gerenciamento em nuvem.
VLAN (Virtual Local Area Network)
Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes redes locais (LANs) físicas.
Usada para isolar o tráfego de WiFi de visitantes das redes de funcionários e IoT, garantindo segurança e conformidade.
Captive Portal
Uma página web que o usuário de uma rede de acesso público é obrigado a visualizar e interagir antes que o acesso seja concedido.
Usado para aplicar termos de serviço, coletar dados de marketing e autenticar usuários em redes WiFi de visitantes.
Walled Garden
Um ambiente limitado que controla o acesso do usuário a conteúdos e serviços web antes que ele esteja totalmente autenticado.
Necessário para permitir que os dispositivos dos visitantes acessem o captive portal na nuvem e os servidores de autenticação antes de receberem acesso total à internet.
RADIUS
Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Tarifação (AAA) para usuários que se conectam e utilizam um serviço de rede.
O protocolo subjacente usado por pontos de acesso corporativos para se comunicarem com o captive portal na nuvem para verificar as credenciais do usuário.
Traffic Shaping
A manipulação e priorização do tráfego de rede para reduzir o impacto de usuários com consumo excessivo ou de aplicativos sensíveis à latência.
Essencial em redes Starlink para priorizar a navegação web em detrimento de atividades de alto consumo de banda, como streaming de vídeo.
Dados Primários (First-Party Data)
Informações que uma empresa coleta diretamente de seus clientes e possui.
Capturado por meio do processo de login do Captive Portal (por exemplo, endereços de e-mail) e utilizado para campanhas de marketing direto e fidelização.
Exemplos práticos
Uma embarcação de cruzeiro de 120 cabines operando com Starlink Maritime a 220 Mbps precisa fornecer WiFi para passageiros sem prejudicar as operações do navio. Eles exigem um mecanismo para monetizar a conexão e coletar dados de marketing.
O operador implanta pontos de acesso Cisco Meraki em toda a embarcação com três VLANs estritas: tripulação, passageiros e sistemas do navio. O captive portal da Purple gerencia a autenticação dos passageiros via e-mail ou consulta de número de cabine integrada ao PMS. Cada passageiro recebe uma franquia diária de 2GB. Passageiros de categoria premium podem adquirir uma franquia de 10GB. O portal coleta dados de e-mail primários (first-party data) para marketing pós-viagem.
Um hotel remoto em uma região montanhosa sem infraestrutura de fibra opera com Starlink Business a 150 Mbps. Os hóspedes reclamam frequentemente de velocidades lentas durante a noite, e o hotel não tem visibilidade sobre quem está utilizando a rede.
O hotel implanta pontos de acesso HPE Aruba no edifício principal e nos anexos. Eles configuram a antena Starlink em Bypass Mode e a conectam a um gateway Aruba. Os hóspedes se autenticam via e-mail no portal da Purple. O hotel aplica um limite estrito de largura de banda de 5 Mbps por dispositivo e usa os relatórios analíticos da Purple para monitorar os horários de pico de uso.
Questões práticas
Q1. Um acampamento de mineração remoto implantou a Starlink Business. Eles conectaram um firewall Cisco Meraki MX ao roteador Starlink. Os visitantes conseguem se conectar ao WiFi, mas a página do Captive Portal expira e falha ao carregar. Qual é a causa mais provável?
Dica: Considere como o hardware Starlink lida com o roteamento por padrão e o que o firewall Meraki exige para gerenciar o tráfego de maneira eficaz.
Ver resposta modelo
A antena Starlink não foi colocada em Bypass Mode. Como resultado, a rede está sofrendo com duplo NAT (tanto o roteador Starlink quanto o firewall Meraki estão tentando realizar Network Address Translation). O administrador deve usar o aplicativo Starlink para ativar o Bypass Mode, permitindo que o firewall Meraki receba o IP do CGNAT diretamente e gerencie o roteamento e a interceptação do Captive Portal.
Q2. Você está implantando um Captive Portal para um hotel usando Starlink. Você configurou o Bypass Mode e a segmentação de VLAN. Durante os testes, você nota que os dispositivos Apple solicitam o login do usuário imediatamente, mas alguns dispositivos Android mostram um erro de certificado quando o usuário tenta navegar em um site seguro antes de se autenticar. Como você resolve isso?
Dica: Pense em como os navegadores modernos lidam com as solicitações de conexão inicial e no que o roteador deve fazer para interceptá-las de forma limpa.
Ver resposta modelo
O roteador corporativo não está configurado para lidar corretamente com a interceptação HTTPS para o redirecionamento do Captive Portal. Os navegadores modernos usam HTTPS por padrão. Quando o usuário tenta visitar um site HTTPS antes de se autenticar, o roteador intercepta o tráfego e apresenta seu próprio certificado, que o navegador rejeita como inválido. Você deve garantir que as configurações do Captive Portal do roteador estejam configuradas para usar um certificado SSL válido para o redirecionamento, ou depender das investigações de rede em nível de SO (como o CNA da Apple), que usam endpoints HTTP para acionar o portal automaticamente.
Q3. Uma operadora marítima reclama que sua conexão Starlink Maritime (220 Mbps) se torna inutilizável todas as noites. Atualmente, eles oferecem uma rede de visitantes aberta e sem senha. Quais são as três configurações específicas que você deve implementar no roteador corporativo e no Captive Portal para resolver isso?
Dica: Concentre-se em controlar a quantidade de dados que os usuários individuais podem consumir e em priorizar tipos de tráfego críticos.
Ver resposta modelo
- Implementar um Captive Portal que exija autenticação para rastrear e gerenciar usuários individuais. 2. Aplicar limites de largura de banda por dispositivo (por exemplo, 5 Mbps de download / 2 Mbps de upload) para evitar que um único usuário monopolize a conexão. 3. Aplicar regras de modelagem de tráfego (traffic shaping) no firewall para priorizar a navegação na web e os protocolos de mensagens, enquanto limita ou bloqueia aplicativos de alta largura de banda, como streaming de vídeo e compartilhamento de arquivos P2P.
Continue a ler esta série
Captive Portal para Ruijie: configure-o com o WiFi de convidados Purple
Como o WiFi de convidados em nuvem da Purple se integra aos pontos de acesso Ruijie RG Series usando autenticação web e RADIUS, configurados a partir da linha de comando, e onde encontrar as etapas de configuração exatas.
Projetando Captive Portals B2B: Coletando Nome Registrado e Dados da Empresa
Este guia fornece aos gerentes de TI e operadores de locais uma estrutura técnica neutra em relação a fornecedores para projetar Captive Portals B2B. Ele detalha como estruturar campos de registro para capturar dados de nome registrado e empresa, garantindo altas taxas de conclusão enquanto mantém a conformidade com o GDPR e constrói inteligência no nível da conta.
Arquitetura de Captive Portal: Segurança, Redirecionamento e Melhores Práticas
Uma referência técnica definitiva sobre a arquitetura de captive portal corporativo. Este guia detalha o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implantam redes WiFi de visitantes seguras e ricas em dados.