Como Configurar um Captive Portal no Starlink: Um Guia para Espaços Remotos e Marítimos
Este guia detalha como contornar o hardware nativo do Starlink e integrar um captive portal gerido na nuvem utilizando equipamento de encaminhamento empresarial. Irá aprender a ultrapassar a limitação de CGNAT, aplicar a segmentação de VLAN, gerir as restrições de largura de banda de satélite e garantir a conformidade regulamentar.
Ouça este guia
Ver transcrição do podcast
- Resumo Executivo
- Análise Técnica Detalhada
- A Restrição do CGNAT
- Arquitetura de Túnel Inverso
- Restrições de Largura de Banda e Modelação de Tráfego
- Guia de Implementação
- Passo 1: Ativar o Modo Bypass
- Passo 2: Configurar a Segmentação de VLAN
- Passo 3: Implementar o Captive Portal na Nuvem
- Passo 4: Testar o Fluxo de Utilizador
- Melhores Práticas
- Resolução de Problemas e Mitigação de Riscos
- ROI e Impacto no Negócio

Resumo Executivo
A Starlink fornece conectividade de 220 Mbps em locais onde a fibra não chega, mudando completamente o panorama das redes para locais remotos e marítimos. No entanto, para ambientes voltados para o público, a conectividade por si só não basta. Ao implementar a Starlink para convidados, passageiros ou tripulação, é necessário implementar autenticação, controlo de acesso, consentimento em conformidade com o GDPR e gestão de largura de banda. O router nativo da Starlink não oferece nenhuma destas funcionalidades.
Este guia explica em detalhe como contornar o hardware nativo da Starlink e integrar um Captive Portal gerido na nuvem usando equipamento de encaminhamento empresarial. Irá aprender a superar as limitações do Carrier Grade NAT (CGNAT), a implementar segmentação de VLAN, a gerir as restrições de largura de banda do satélite e a garantir a conformidade regulamentar.
Ao implementar esta arquitetura, os operadores de locais transformam uma linha de internet não gerida numa rede segura e segmentada que recolhe dados primários e protege a infraestrutura empresarial principal.
Análise Técnica Detalhada
A Restrição do CGNAT
O principal obstáculo técnico ao implementar um Captive Portal na Starlink é o Carrier Grade NAT (CGNAT). A antena padrão da Starlink liga-se a um router proprietário que gere o DHCP e o NAT. Por predefinição, o endereço IP da WAN atribuído ao seu equipamento fica dentro do intervalo 100.64.0.0/10. Como este não é um endereço IP público, o seu router não pode receber ligações de entrada a partir da internet.
As arquiteturas padrão de Captive Portal pressupõem frequentemente que o portal na nuvem pode aceder de volta à sua rede para autenticar utilizadores ou atualizar as listas de controlo de acesso. Com o CGNAT, as ligações de entrada falham.
Para resolver isto, deve configurar a antena da Starlink no Modo Bypass (frequentemente designado por modo bridge). No Modo Bypass, as funções do router da Starlink são desativadas e a antena envia o endereço do CGNAT diretamente para a porta WAN do seu router empresarial. O seu router empresarial assume então o controlo total da camada de encaminhamento.

Arquitetura de Túnel Inverso
Mesmo com o router empresarial a gerir o tráfego, a restrição de entrada do CGNAT permanece. A solução é uma arquitetura de túnel inverso. O seu router estabelece uma ligação de saída para o portal na nuvem e mantém-na continuamente. Todo o tráfego de autenticação flui através deste túnel estabelecido. A infraestrutura na nuvem nunca precisa de iniciar uma ligação de entrada. A arquitetura de sobreposição na nuvem da Purple lida com isto de forma nativa. Não precisa de configurar túneis VPN manuais. Se a sua implementação exigir um IP estático para servidores RADIUS locais legados ou listas de permissões de IP estritas, os planos Starlink Business e Maritime fornecem um IP estático como um suplemento pago.
Restrições de Largura de Banda e Modelação de Tráfego
A largura de banda de satélite é um recurso partilhado e finito. Um único utilizador a transmitir vídeo em 4K pode consumir continuamente 25 Mbps. Numa embarcação com 50 passageiros a partilhar uma ligação Starlink de 220 Mbps, um utilizador poderia consumir 11% da capacidade total.
Deve abordar esta questão ao nível do Captive Portal e do router através de uma modelação de tráfego agressiva:
- Limites por dispositivo: Limite os dispositivos de convidados individuais a 5 Mbps de download e 2 Mbps de upload.
- Políticas de utilização justa: Imponha limites diários de dados (por exemplo, 2 GB por cada 24 horas).
- Controlo de aplicações: Priorize a navegação na web e os protocolos de mensagens em detrimento da transmissão de vídeo e da partilha de ficheiros peer-to-peer.
- Acesso em níveis: Disponibilize um nível gratuito para conectividade básica e um nível premium pago para transmissão, transformando a infraestrutura de WiFi de um centro de custos numa fonte de receita.

Guia de Implementação
Siga estes passos para implementar um Captive Portal seguro na Starlink utilizando hardware empresarial.
Passo 1: Ativar o Modo Bypass
- Instale o hardware da Starlink e verifique a conectividade utilizando o router original.
- Abra a aplicação móvel da Starlink e navegue até Definições.
- Selecione e confirme Ignorar router WiFi Starlink.
- Ligue o Adaptador Ethernet Starlink à porta WAN do seu router empresarial (Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet).
Nota: Se a antena Starlink for reposta para as definições de fábrica, o Modo Bypass é desativado automaticamente. Documente isto no seu manual de operações do local e configure um alerta de monitorização na interface WAN do seu router.
Passo 2: Configurar a Segmentação de VLAN
Deve isolar o tráfego de convidados dos seus sistemas de negócio principais. Configure pelo menos três VLANs no seu switch principal e pontos de acesso:
- VLAN 10 (Pessoal): Transporta sistemas POS, aplicações de back-office e tráfego de gestão.
- VLAN 20 (Convidado): Segmento apenas de Internet que redireciona para o Captive Portal.
- VLAN 30 (IoT): Rede isolada para câmaras, termóstatos inteligentes e sistemas de gestão de edifícios.
Configure regras de firewall para bloquear todo o encaminhamento inter-VLAN. Um dispositivo de convidado na VLAN 20 nunca deve conseguir fazer ping a um terminal POS na VLAN 10. Esta segmentação é um requisito estrito para a conformidade com o padrão PCI-DSS.
Passo 3: Implementar o Captive Portal na Nuvem
- Configure os seus pontos de acesso para transmitir o SSID de Convidado na VLAN 20.
- Defina o método de autenticação para RADIUS externo ou utilize a integração de API do fornecedor.
- Aponte o servidor de autenticação para a infraestrutura de nuvem do Purple.
- Configure o walled garden (lista de permissões) para permitir o tráfego para os domínios do Purple antes de a autenticação estar concluída.
- Desenhe a splash page no portal Purple, garantindo que o branding está alinhado com o seu espaço e que os termos de serviço são apresentados claramente.
Passo 4: Testar o Fluxo de Utilizador
Teste o fluxo de autenticação em dispositivos iOS e Android. O Captive Network Assistant (CNA) da Apple e a sonda de rede do Android comportam-se de forma diferente. Verifique se a splash page carrega em menos de 10 segundos e se o dispositivo obtém acesso à internet imediatamente após a autenticação.
Melhores Práticas
- Interceção HTTPS: Garanta que o seu router lida corretamente com a interceção HTTPS. Os dispositivos modernos utilizam HTTPS por predefinição. Se o router não conseguir redirecionar os pedidos HTTPS de forma limpa, os convidados irão deparar-se com erros de certificado antes de acederem ao portal.
- Session Keepalive: A constelação de Órbita Baixa Terrestre (LEO) da Starlink oferece latências de 20 a 40 milissegundos, mas ocorrem pequenos picos durante a transição entre satélites. Defina o intervalo de keepalive de sessão do seu Captive Portal para 60 segundos ou menos para evitar a desconexão prematura.
- Caching Offline: Configure o seu router para fazer o cache local das sessões ativas. Se a ligação Starlink cair temporariamente, os convidados que já se encontram autenticados permanecerão online quando a conectividade for restabelecida, em vez de serem forçados a iniciar sessão novamente.
Resolução de Problemas e Mitigação de Riscos
| Modo de Falha | Causa Raiz | Mitigação |
|---|---|---|
| O Captive Portal não carrega | Configuração incorreta do walled garden | Verifique se todos os domínios Purple e endpoints de CDN necessários foram adicionados à lista de permissões de pré-autenticação no router. |
| Erros de Duplo NAT | O Bypass Mode está desativado | Verifique a aplicação Starlink para confirmar que o Bypass Mode está ativo. Flutuações de energia ou reinicializações manuais podem ter reposto as configurações padrão da antena. |
| Velocidades de convidado lentas | Largura de banda sem restrições | Aplique limites de largura de banda por dispositivo (ex.: 5 Mbps) e bloqueie aplicações de alta largura de banda, como o BitTorrent, na firewall. |
| Falha na auditoria de segurança | O encaminhamento inter-VLAN está ativado | Audite as regras de firewall para garantir que o tráfego da VLAN de Convidados não consegue ser encaminhado para a VLAN de Funcionários ou de Gestão. |
ROI e Impacto no Negócio
A implementação de um Captive Portal gerido na Starlink transforma uma ligação de internet bruta num ativo de negócio mensurável.
Para um navio de cruzeiro de 120 cabines a operar a Starlink Maritime a 220 Mbps, o acesso bruto resulta num retorno de negócio nulo. Ao implementar pontos de acesso Cisco Meraki e o Captive Portal do Purple, o operador pode impor um limite diário de 2GB para passageiros padrão, enquanto faz o upsell de um nível premium de 10GB. A receita de WiFi resultante cobre o custo mensal de subscrição Starlink superior a $250. Além disso, o portal recolhe dados de e-mail primários totalmente em conformidade, expandindo a lista de marketing direto do operador para futuras viagens.
Num ambiente hoteleiro remoto, a implementação de um portal com políticas de largura de banda rigorosas reduz as reclamações dos hóspedes relativamente a WiFi lento em até 60%, uma vez que os utilizadores intensivos são impedidos de monopolizar a ligação por satélite.
Definições Principais
Bypass Mode
Uma definição de configuração que desativa as funções nativas de DHCP e NAT do router Starlink, passando o IP WAN diretamente para um router empresarial de terceiros.
Necessário ao integrar equipamento de rede empresarial com uma antena Starlink para evitar double NAT e conflitos de encaminhamento.
CGNAT (Carrier Grade NAT)
Um método utilizado pelos ISPs para partilhar um único endereço IP público entre múltiplos clientes. O router do cliente recebe um endereço IP privado (normalmente 100.64.0.0/10).
O Starlink utiliza CGNAT por predefinição, o que impede ligações de entrada a partir da internet e exige arquiteturas de túnel reverso para a gestão na nuvem.
VLAN (Virtual Local Area Network)
Uma sub-rede lógica que agrupa um conjunto de dispositivos de diferentes LANs físicas.
Utilizada para isolar o tráfego de WiFi de convidados das redes de funcionários e IoT, garantindo a segurança e a conformidade.
Captive Portal
Uma página web que um utilizador de uma rede de acesso público é obrigado a visualizar e com a qual deve interagir antes de lhe ser concedido acesso.
Utilizado para aplicar os termos de serviço, recolher dados de marketing e autenticar utilizadores em redes de WiFi de convidados.
Walled Garden
Um ambiente limitado que controla o acesso do utilizador a conteúdos e serviços web antes de este se ter autenticado totalmente.
Necessário para permitir que os dispositivos dos convidados acedam ao captive portal na nuvem e aos servidores de autenticação antes de lhes ser concedido acesso total à internet.
RADIUS
Um protocolo de rede que fornece uma gestão centralizada de Autenticação, Autorização e Contabilidade para utilizadores que se ligam e utilizam um serviço de rede.
O protocolo subjacente utilizado pelos pontos de acesso empresariais para comunicar com o captive portal na nuvem para verificar as credenciais do utilizador.
Traffic Shaping
A manipulação e priorização do tráfego de rede para reduzir o impacto de utilizadores intensivos ou de aplicações sensíveis à latência.
Essencial em redes Starlink para priorizar a navegação na web em detrimento de atividades de elevada largura de banda, como a transmissão de vídeo.
First-Party Data
Informação que uma empresa recolhe diretamente dos seus clientes e que possui.
Captado através do processo de início de sessão do captive portal (ex.: endereços de email) e utilizado para campanhas de marketing direto e fidelização.
Exemplos Práticos
Um navio de cruzeiro de 120 cabinas a operar com Starlink Maritime a 220 Mbps necessita de fornecer WiFi aos passageiros sem prejudicar as operações do navio. Precisam de um mecanismo para rentabilizar a ligação e recolher dados de marketing.
O operador implementa pontos de acesso Cisco Meraki por todo o navio com três VLANs estritas: tripulação, passageiros e sistemas do navio. O captive portal da Purple gere a autenticação dos passageiros através de e-mail ou pesquisa pelo número da cabina integrada com o PMS. Cada passageiro recebe um limite diário de 2GB. Os passageiros da classe premium podem adquirir uma atribuição de 10GB. O portal recolhe dados de e-mail em regime de first-party data para marketing pós-viagem.
Um hotel remoto nas Highlands sem infraestrutura de fibra utiliza Starlink Business a 150 Mbps. Os hóspedes queixam-se frequentemente de velocidades lentas durante a noite, e o hotel não tem visibilidade sobre quem está a utilizar a rede.
O hotel implementa pontos de acesso HPE Aruba no edifício principal e nos anexos. Configuram a antena Starlink em Bypass Mode e ligam-na a um gateway Aruba. Os hóspedes autenticam-se por e-mail no portal da Purple. O hotel aplica um limite estrito de largura de banda de 5 Mbps por dispositivo e utiliza as ferramentas analíticas da Purple para monitorizar as horas de pico de utilização.
Perguntas de Prática
Q1. Um acampamento mineiro remoto implementou o Starlink Business. Ligaram uma firewall Cisco Meraki MX ao router Starlink. Os convidados conseguem ligar-se ao WiFi, mas a página do captive portal expira e não carrega. Qual é a causa mais provável?
Dica: Considere como o hardware Starlink lida com o encaminhamento por predefinição e o que a firewall Meraki necessita para gerir o tráfego de forma eficaz.
Ver resposta modelo
O prato Starlink não foi colocado em Bypass Mode. Como resultado, a rede está a sofrer de duplo NAT (o router Starlink e a firewall Meraki estão ambos a tentar realizar Network Address Translation). O administrador deve utilizar a aplicação Starlink para ativar o Bypass Mode, permitindo que a firewall Meraki receba o IP CGNAT diretamente e gira o encaminhamento e a interseção do captive portal.
Q2. Está a implementar um captive portal para um hotel utilizando o Starlink. Configurou o Bypass Mode e a segmentação de VLAN. Durante os testes, nota que os dispositivos Apple solicitam ao utilizador que inicie sessão imediatamente, mas alguns dispositivos Android mostram um erro de certificado quando o utilizador tenta navegar para um website seguro antes de se autenticar. Como resolve isto?
Dica: Pense em como os navegadores modernos lidam com os pedidos de ligação iniciais e o que o router deve fazer para os intercetar de forma limpa.
Ver resposta modelo
O router empresarial não está configurado para lidar corretamente com a interseção de HTTPS para o redirecionamento do captive portal. Os navegadores modernos utilizam HTTPS por predefinição. Quando o utilizador tenta aceder a um site HTTPS antes de se autenticar, o router interceta o tráfego e apresenta o seu próprio certificado, que o navegador rejeita como inválido. Deve garantir que as definições de captive portal do router estão configuradas para utilizar um certificado SSL válido para o redirecionamento, ou depender das sondas de rede ao nível do SO (como o CNA da Apple) que utilizam endpoints HTTP para acionar o portal automaticamente.
Q3. Um operador marítimo queixa-se de que a sua ligação Starlink Maritime (220 Mbps) se torna inutilizável todas as noites. Atualmente, disponibiliza uma rede de convidados aberta e sem palavra-passe. Que três configurações específicas deve implementar no router empresarial e no captive portal para resolver esta questão?
Dica: Foque-se em controlar a quantidade de dados que os utilizadores individuais podem consumir e em priorizar tipos de tráfego críticos.
Ver resposta modelo
- Implementar um captive portal que exija autenticação para monitorizar e gerir os utilizadores individuais. 2. Impor limites de largura de banda por dispositivo (ex.: 5 Mbps de download / 2 Mbps de upload) para evitar que um único utilizador monopolize a ligação. 3. Aplicar regras de modelação de tráfego (traffic shaping) na firewall para priorizar a navegação na Web e os protocolos de mensagens, limitando ou bloqueando aplicações de elevada largura de banda, como streaming de vídeo e partilha de ficheiros P2P.
Continue a ler esta série
Captive Portal para Ruijie: configure-o com o Purple guest WiFi
Como o cloud guest WiFi da Purple funciona sobre os pontos de acesso Ruijie RG Series utilizando autenticação web e RADIUS, configurado a partir da linha de comandos, e onde encontrar os passos exatos de configuração.
Conceber Captive Portals B2B: Recolha de Nome Registado e Dados da Empresa
Este guia fornece aos gestores de TI e operadores de espaços uma estrutura técnica independente de fornecedor para conceber Captive Portals B2B. Detalha como estruturar os campos de registo para capturar o nome registado e os dados da empresa, garantindo elevadas taxas de conclusão, mantendo a conformidade com o GDPR e construindo inteligência ao nível da conta.
Arquitetura de Captive Portal: Segurança, Redirecionamento e Boas Práticas
Uma referência técnica definitiva sobre arquitetura de captive portal empresarial. Este guia analisa o isolamento de rede, redirecionamento de DNS, autenticação RADIUS e conformidade de segurança para líderes de TI que implementam redes WiFi de convidados seguras e ricas em dados.