Аутентификация и регистрация пользователей для беспроводного интернет-провайдера?
Мне нужно обновить сеть беспроводного интернет-провайдера (WISP). Их текущая установка состоит из маршрутизатора (Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets (с секторными антеннами) для клиентов и Ubiquiti NanoStations для клиентских CPE.
Их безопасность состоит из WPA2-PSK для CPE, и они набирают PPPoE для предоставления доступа. PPPoE упрощает управление пользователями, отключение их, ограждение их, если они не платят и т. Д.
Но PPPoE всегда проблематичен в других аспектах (проблемы с MTU, случайное отключение туннелей и т. Д.). Поэтому я хочу, чтобы все было как можно более чистым: никакого туннелирования, только голый Ethernet.
Аутентификацию можно легко решить с помощью 802.1x (EAP), который прекрасно поддерживают все устройства. Тогда дело просто в назначении IP-адресов с помощью DHCP (и даже DHCPv6).
Но моя проблема в том, что аутентификация 802.1x основана на использовании пароля пользователя и пароля, в то время как DHCP использует только MAC. Итак, мне нужен способ предоставить IP-адрес из определенного пула каждому типу пользователей - Freeradius может действовать как DHCP-сервер и делать это, но невозможно использовать учетные данные 802.1x для DHCP - или, по крайней мере, у меня нет не нашел способа сделать это.
Какие у меня есть варианты для этого? Новое оборудование не вариант, решение должно быть максимально FOSS и работать на Linux или FreeBSD.
Freeradius может работать с различными бэкендами, такими как SQL или LDAP. Вы можете вести список пользователей и некоторые специальные токены RADIUS, которые вы указываете в Freeradius для обозначения подсети и/или статуса учетной записи (активный, неактивный, неоплачиваемый и т. д.). Вам нужно будет по-настоящему покопаться в Freeradius и его настройке, но я знаю, что это можно сделать, тем более что довольно много интернет-провайдеров среднего размера используют что-то похожее на DHCP оператора связи и тому подобное.