WispOSWispOS
Guida MikroTik
Utenti, RADIUS, IoT e containerIntermedio

Quale RADIUS per il WISP: User Manager, FreeRADIUS o gestionale

Guida alla scelta dell'architettura AAA per un WISP italiano: segreti locali, User Manager interno, FreeRADIUS esterno o RADIUS pilotato dal gestionale. Vantaggi, limiti e quando usarli.

Non esiste una sola risposta giusta: la scelta dell'architettura AAA dipende dal numero di clienti, dalle competenze in casa e da quanto si vuole automatizzare la sospensione/riattivazione legata al pagamento. Qui un confronto orientato al WISP italiano.

1. Confronto delle opzioni

OpzioneQuando usarlaProContro
Segreti locali (/ppp/secret)Pochi clienti su 1 routerZero dipendenze, sempliceNon scala, niente accounting centralizzato, gestione per-router
User Manager (interno)Fino a ~200-300 clienti, 1-pochi routerIntegrato in RouterOS, voucher, CoA, no server esternoLimiti di scala, DB sul router (rischio guasto disco)
FreeRADIUS (esterno)Centinaia/migliaia di clienti, più routerScala, flessibile, SQL, alta affidabilità possibileRichiede gestione di un server Linux e competenze
RADIUS pilotato dal gestionaleSi vuole legare la rete al billingSospensione/riattivazione automatica al pagamento, vista unicaDipende dal gestionale; integrazione da progettare
Architetture AAA a confronto

2. Il modello consigliato per crescere

Il pattern più solido è un RADIUS esterno (FreeRADIUS o User Manager su dispositivo dedicato) con database, pilotato dal gestionale: il gestionale conosce lo stato del pagamento e abilita/disabilita l'utente sul RADIUS, inviando un CoA/Disconnect sulla porta 3799 per applicare subito la sospensione. Così la rete riflette sempre lo stato commerciale del cliente.

  • Cliente paga → il gestionale registra il pagamento → marca attivo sul RADIUS → la prossima auth passa
  • Cliente non paga → dopo X giorni il gestionale lo marca sospeso sul RADIUS → invia Disconnect → la sessione cade e le auth successive vengono rifiutate (o reindirizzate a una pagina di sospensione)
  • Tutto l'accounting (consumi, sessioni) resta nel RADIUS, riusabile per report e quote di traffico
WISP Manager copre lo strato gestionale di questo modello: tiene lo stato del cliente e dell'abbonamento e, tramite l'agente on-prem, pilota i router (disabilita PPP secret, rimuove sessione) anche dietro NAT/CGNAT. Per la sospensione realmente "RADIUS-driven" si abbina questo strato a un RADIUS con CoA abilitato.

3. Alta affidabilità del RADIUS

  • Configurare almeno due server in /radius (principale + backup) su ogni NAS
  • Mantenere il fallback locale (/ppp/secret o /user/aaa) per non perdere il servizio se il RADIUS è giù
  • Se si usa FreeRADIUS: ridondanza del database (replica SQL) e dei server RADIUS
  • Monitorare i contatori /radius/monitor e gli alert del gestionale per accorgersi subito dei timeout
RADIUS architetturaUser Manager vs FreeRADIUSAAA WISPscelta RADIUSsospensione automaticaCoAbilling integrazionescalabilità RADIUSalta affidabilità AAA

Continua con

PPP/PPPoE: profili, segreti e server — guida praticaPPP AAA: autenticazione e accounting via RADIUSRADIUS: configurazione client, attributi e RadSecHotspot e Captive Portal: setup, profili e bypass

Configura senza fatica con l'AI

In WispOS l'agente AI genera la configurazione RouterOS dalle tue parole e un tutor ti guida passo passo.

Prova WispOS