ワイヤレス ISP (WISP) のネットワークをアップグレードする必要があります。現在のセットアップは、ルーター (Mikrotik RouterBoard 1100AHx2)、クライアント用の Ubiquiti Rockets (セクター アンテナ付き)、およびクライアント CPE 用の Ubiquiti NanoStation で構成されています。
彼らのセキュリティは CPE 用の WPA2-PSK で構成されており、アクセスを提供するために PPPoE をダイヤルします。PPPoE を使用すると、ユーザーを制御したり、切断したり、料金を支払わない場合はウォールガーデンしたりすることが簡単になります。
しかし、PPPoE は他の面では常に問題を抱えています (MTU の問題、トンネルのランダムなドロップなど)。そのため、できる限り純粋な状態を維持したいと考えています。つまり、いかなる種類のトンネリングも行わず、裸のイーサネットだけにします。
認証は、すべてのデバイスが問題なくサポートする 802.1x (EAP) で簡単に解決できます。その後は、DHCP (および DHCPv6) を使用して IP アドレスを割り当てるだけです。
しかし、問題は、802.1x 認証はユーザー + パスワードに基づいているのに対し、DHCP は MAC のみを使用することです。そのため、特定のプールからすべてのタイプのユーザーに IP を提供する方法が必要です。Freeradius は DHCP サーバーとして機能してこれを実行できますが、DHCP に 802.1x 資格情報を使用することはできません。少なくとも、これを行う方法は見つかりませんでした。
これを実現するにはどのようなオプションがありますか? 新しいハードウェアはオプションではなく、ソリューションは可能な限り FOSS であり、Linux または FreeBSD 上で実行する必要があります。
答え1
Freeradius は、SQL や LDAP などのさまざまなバックエンドで動作します。サブネットやアカウントの状態 (アクティブ、非アクティブ、未払いなど) を指定するために Freeradius で指定したユーザー リストと RADIUS 固有のトークンを維持できます。Freeradius とそのカスタマイズを徹底的に調べる必要がありますが、特に中規模 ISP の多くがキャリア DHCP などを実行するために同様のものを実行していることから、それが可能であることはわかっています。