Captive portal architecture: interna o esterna?

Sono interessato all'architettura del portale captive. Inizialmente la mia comprensione era che luoghi come aeroporti e internet café avrebbero avuto tutte le infrastrutture RADIUS e AAA sul lato locale del firewall. Dopo aver esaminato i modelli WISP (provider di servizi Internet wireless), le mie idee iniziali sembravano sbagliate. Anche se un'azienda offre diversi hotspot Wi-Fi pubblici, potrebbe comunque mantenere il server AAA, il server Web captive portal e gli interni RADIUS sul lato locale del firewall?

Se mantenessero centralizzati i server RADIUS e AAA, si collegherebbero a questo tramite una VPN dal firewall e avrebbero una non VPN su Internet per dopo che gli utenti fossero stati autenticati?

Sto solo cercando di capire un'architettura generale per il wifi pubblico.

Ecco un esempio

Ha senso centralizzare il servizio AAA se si fornisce l'infrastruttura per più hotspot (ad esempio operatori di siti indipendenti, ognuno dei quali riceve entrate da un'azienda che fornisce le apparecchiature hot-spot e il servizio back-end) - oltre a qualsiasi altra cosa, si desideri i clienti devono registrarsi una volta e quindi essere in grado di utilizzare uno dei tuoi hotspot senza una nuova registrazione separata. È probabile che un servizio AAA centralizzato (o regionale) sia più facile da gestire rispetto a un sistema completamente decentralizzato.

Ovviamente, è importante che il gateway hotspot sia in grado di comunicare in modo sicuro con il server AAA su una rete pubblica. RADIUS è un protocollo AAA comunemente usato ma mentre un client RADIUS crittografa le password da trasmettere al server RADIUS, ci sono dubbi sulla forza di RADIUS. Una VPN tra client e server RADIUS è un modo per fornire ulteriore sicurezza.

Il traffico dell'utente non sarebbe influenzato da una VPN utilizzata per RADIUS.