Tengo que actualizar la red de un ISP inalámbrico (WISP). Su configuración actual consta de un enrutador (Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets (con antenas sectoriales) para clientes y Ubiquiti NanoStations para CPE de clientes.
Su seguridad consiste en WPA2-PSK para los CPE y marcan PPPoE para proporcionar acceso. PPPoE hace que sea trivial controlar a los usuarios, desconectarlos, protegerlos en caso de que no paguen, etc.
Pero PPPoE siempre es problemático en otros aspectos (problemas de MTU, caída aleatoria de túneles, etc.). Por eso quiero mantener las cosas lo más puras posible: sin túneles de ningún tipo, solo Ethernet.
La autenticación se puede resolver fácilmente con 802.1x (EAP), que todos los dispositivos admiten perfectamente. Entonces es sólo cuestión de asignar direcciones IP con DHCP (e incluso DHCPv6).
Pero mi problema es que la autenticación 802.1x se basa en usuario+contraseña, mientras que DHCP solo usa MAC. Entonces, necesito una manera de proporcionar una IP de un grupo específico a cada tipo de usuario. Freeradius puede actuar como un servidor DHCP y hacer esto, pero no es posible usar las credenciales 802.1x para DHCP, o al menos, yo tengo No encontré una manera de hacer esto.
¿Qué opciones tengo para lograr esto? El nuevo hardware no es una opción, la solución debe ser lo más FOSS posible y ejecutarse en Linux o FreeBSD.
Respuesta1
Freeradius puede trabajar con diferentes backends, como SQL o LDAP. Puede mantener una lista de usuarios y algún token específico de RADIUS que especifique en Freeradius para designar la subred y/o el estado de la cuenta (activa, inactiva, sin pago, etc.). Necesitará profundizar mucho en Freeradius y su personalización, pero sé que se puede hacer, especialmente porque bastantes ISP de tamaño mediano ejecutan algo similar para realizar DHCP de operador y similares.