Eu tenho que atualizar a rede de um ISP sem fio (WISP). Sua configuração atual consiste em um roteador (Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets (com antenas setoriais) para clientes e Ubiquiti NanoStations para CPEs de clientes.
Sua segurança consiste em WPA2-PSK para os CPEs, e eles discam PPPoE para fornecer acesso. O PPPoE torna trivial controlar usuários, desconectá-los, plantá-los na parede caso eles não paguem, etc.
Mas o PPPoE é sempre problemático em outros aspectos (problemas de MTU, queda aleatória de túneis, etc.). Portanto, quero manter as coisas o mais puras possível: sem nenhum tipo de túnel, apenas Ethernet simples.
A autenticação pode ser resolvida facilmente com 802.1x (EAP), que todos os dispositivos suportam perfeitamente. Depois é só atribuir endereços IP com DHCP (e até mesmo DHCPv6).
Mas meu problema é que a autenticação 802.1x é baseada em usuário+senha, enquanto o DHCP usa apenas MAC. Então, preciso fornecer um IP de um pool específico para cada tipo de usuário - o Freeradius pode atuar como um servidor DHCP e fazer isso, mas não é possível usar as credenciais 802.1x para DHCP - ou pelo menos não tenho não encontrei uma maneira de fazer isso.
Que opções tenho para conseguir isso? Novo hardware não é uma opção, a solução tem que ser o mais FOSS possível e rodar em Linux ou FreeBSD.
Responder1
O Freeradius pode trabalhar com diferentes backends, como SQL ou LDAP. Você pode manter uma lista de usuários e algum token específico do RADIUS especificado no Freeradius para designar o status da sub-rede e/ou da conta (ativo, inativo, não pago, etc.). Você precisará realmente se aprofundar no Freeradius e em sua personalização, mas sei que isso pode ser feito, especialmente porque alguns ISPs de médio porte executam algo semelhante ao DHCP da operadora e coisas assim.