Ich muss das Netzwerk eines Wireless ISP (WISP) aktualisieren. Ihr aktuelles Setup besteht aus einem Router (Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets (mit Sektorantennen) für Clients und Ubiquiti NanoStations für Client-CPEs.
Ihre Sicherheit besteht aus WPA2-PSK für die CPEs, und sie wählen PPPoE, um Zugriff zu gewähren. PPPoE macht es einfach, Benutzer zu kontrollieren, sie zu trennen, sie zu blockieren, falls sie nicht zahlen, usw.
Aber PPPoE ist in anderer Hinsicht immer problematisch (MTU-Probleme, zufällige Tunnelabbrüche usw.). Deshalb möchte ich es so einfach wie möglich halten: kein Tunneling jeglicher Art, nur reines Ethernet.
Die Authentifizierung kann problemlos mit 802.1x (EAP) gelöst werden, was alle Geräte problemlos unterstützen. Dann müssen nur noch IP-Adressen mit DHCP (und sogar DHCPv6) zugewiesen werden.
Mein Problem ist jedoch, dass die 802.1x-Authentifizierung auf Benutzer+Passwort basiert, während DHCP nur MAC verwendet. Ich muss also eine Möglichkeit finden, jedem Benutzertyp eine IP aus einem bestimmten Pool bereitzustellen. Freeradius kann als DHCP-Server fungieren und dies tun, aber es ist nicht möglich, die 802.1x-Anmeldeinformationen für DHCP zu verwenden. Zumindest habe ich keine Möglichkeit gefunden, dies zu tun.
Welche Möglichkeiten habe ich, dies zu erreichen? Neue Hardware ist keine Option, die Lösung muss so FOSS wie möglich sein und unter Linux oder FreeBSD laufen.
Antwort1
Freeradius kann mit verschiedenen Backends wie SQL oder LDAP arbeiten. Sie können eine Liste von Benutzern und einige RADIUS-spezifische Token verwalten, die Sie in Freeradius angeben, um den Subnetz- und/oder Kontostatus (aktiv, inaktiv, nicht zahlend usw.) festzulegen. Sie müssen sich wirklich mit Freeradius und dessen Anpassung befassen, aber ich weiß, dass es möglich ist, insbesondere da einige mittelgroße ISPs etwas Ähnliches ausführen, um Carrier-DHCP und dergleichen zu betreiben.