무선 ISP(WISP) 네트워크를 업그레이드해야 합니다. 현재 설정은 클라이언트용 라우터(Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets(섹터 안테나 포함), 클라이언트 CPE용 Ubiquiti NanoStation으로 구성됩니다.
보안은 CPE용 WPA2-PSK로 구성되며 PPPoE를 다이얼하여 액세스를 제공합니다. PPPoE를 사용하면 사용자를 제어하고, 연결을 끊고, 비용을 지불하지 않을 경우를 대비해 벽에 정원을 가두는 등의 작업이 간단해집니다.
그러나 PPPoE는 다른 측면(MTU 문제, 터널의 무작위 삭제 등)에서 항상 문제가 있습니다. 그래서 저는 가능한 한 순수하게 유지하고 싶습니다. 어떠한 종류의 터널링도 없이 이더넷만 사용하면 됩니다.
인증은 모든 장치가 잘 지원하는 802.1x(EAP)를 사용하여 쉽게 해결할 수 있습니다. 그렇다면 DHCP(및 DHCPv6도)를 사용하여 IP 주소를 할당하기만 하면 됩니다.
하지만 내 문제는 802.1x 인증이 사용자+비밀번호를 기반으로 하는 반면 DHCP는 MAC만 사용한다는 것입니다. 따라서 특정 풀의 IP를 모든 유형의 사용자에게 제공할 수 있는 방법이 필요합니다. Freeradius는 DHCP 서버 역할을 할 수 있지만 이를 수행할 수 있지만 DHCP에 802.1x 자격 증명을 사용할 수는 없습니다. 이 작업을 수행할 방법을 찾지 못했습니다.
이를 달성하려면 어떤 옵션이 있어야 합니까? 새로운 하드웨어는 옵션이 아니며 솔루션은 가능한 FOSS여야 하며 Linux 또는 FreeBSD에서 실행되어야 합니다.
답변1
Freeradius는 SQL 또는 LDAP와 같은 다양한 백엔드와 작동할 수 있습니다. 서브넷 및/또는 계정 상태(활성, 비활성, 무료 등)를 지정하기 위해 Freeradius에서 지정하는 사용자 목록과 일부 RADIUS 특정 토큰을 유지 관리할 수 있습니다. Freeradius와 그 사용자 정의를 실제로 자세히 살펴보아야 하지만 가능하다는 것을 알고 있습니다. 특히 상당수의 중간 규모 ISP가 캐리어 DHCP 및 이와 유사한 기능을 실행하기 때문입니다.