Мне нужно обновить сеть беспроводного интернет-провайдера (WISP). Их текущая установка состоит из маршрутизатора (Mikrotik RouterBoard 1100AHx2), Ubiquiti Rockets (с секторными антеннами) для клиентов и Ubiquiti NanoStations для клиентских CPE.
Их безопасность состоит из WPA2-PSK для CPE, и они подключаются к PPPoE для предоставления доступа. PPPoE делает контроль пользователей, их отключение, закрытие их в случае неплатежеспособности и т. д. тривиальным.
Но PPPoE всегда проблематичен в других аспектах (проблемы с MTU, случайные обрывы туннелей и т. д.). Поэтому я хочу сохранить все максимально чистым: никакого туннелирования, только голый Ethernet.
Аутентификацию можно легко решить с помощью 802.1x (EAP), который все устройства поддерживают просто отлично. Затем остается только назначить IP-адреса с помощью DHCP (и даже DHCPv6).
Но моя проблема в том, что аутентификация 802.1x основана на user+password, в то время как DHCP использует только MAC. Поэтому мне нужен способ предоставить IP из определенного пула каждому типу пользователей - Freeradius может выступать в качестве DHCP-сервера и делать это, но невозможно использовать учетные данные 802.1x для DHCP - или, по крайней мере, я не нашел способа сделать это.
Какие у меня есть варианты для этого? Новое оборудование не вариант, решение должно быть максимально открытым и работать на Linux или FreeBSD.
решение1
Freeradius может работать с различными бэкендами, такими как SQL или LDAP. Вы можете вести список пользователей и какой-то определенный токен RADIUS, который вы указываете в Freeradius для обозначения подсети и/или статуса учетной записи (активный, неактивный, не платит и т. д.). Вам нужно будет действительно углубиться в Freeradius и его настройку, но я знаю, что это можно сделать, особенно с учетом того, что довольно много средних интернет-провайдеров используют что-то похожее для работы с DHCP оператора и сортировки.