[возможно ли] wi-fi <-> tunnel <-> server

> туннель поверх локалки, в которую совершенно ни к чему было бы пускать случайных wi-fi клиентов

Это называется VLAN, и умеется чуть не всеми коммутаторами :-)

Про vlan тоже подумал, однако там сеть так устроена, что каждая «подсеть» (проще говоря порт на коммутаторе) - это уже vlan. Могут ли возникнуть с этим проблемы? И опять же главный вопрос остается в оборудовании, то есть поддерживают ли более-менее простейшие wi-fi точки работу с туннелями без nat? Просто я не так уж давно этим занимаюсь и в оборудовании ориентируюсь еще плоховато, как в прочем и в сетях в целом.

Вместо «туннеля» — отдельный VLAN. Неужели у тебя свич настолько тупой, что VLANы не поддерживает? Кроме того, современная локалка предполагает топологию типа «звезда», а значит есть отдельный провод до серверной. Или при желании, можно организовать (если СКС делали не конченые отморозки).

Зачем эти сложности? У тебя разве AP не поддерживает EAP? Крайне сомнительно.

AP ОБЯЗАНА работать исключительно в режиме моста. Наверно вряд-ли она у тебя поддерживает EAPoL и тебе придется поднимать RADIUS, и соответственно присваивать IPшник проводному интерфейсу AP. Но это допустимо.

Вариант с radius-ом уже был рассмотрен и не подходит со стороны клиентов. Сеть делал не я, и если честно до сих пор не совсем понимаю как она там работает (бывает говорят что-то о чем раньше было неизвестно). Отдельного канала до серверной нет - в том то и проблема, собственно для этого и хотелось туннель. В общем я так понял что проще выходит сделать (точка) <-> (сервер) <-> (локалка) и на сервер этот биллинг на основе iptables написать.

>Вариант с radius-ом уже был рассмотрен и не подходит со стороны клиентов.

Не подходит чем? Придется каждому вбивать свои собственные логин/пароль вместо одного. Других трудностей нет. Можно развернуть EAP-TLS, и каждому юзеру поставить сертификат. Максимальная безопасность для истинных джедаев. Можно воздвигнуть RADIUS на сервере с AD (в состав винды входит штатный) с неисчислимыми плюшками по интеграции с оным. Кстати, на ней же можно и СА развернуть.

Я к сожалению, никогда не поднимал EAP на AP, но должна же быть там какая-то accounting-информация, хотя от точки доступа зависит. И ограничение прав доступа по динамическому IP, даже выданным RADIUS'ом совершенно не решает проблемы. Взял юзер и поменял свой IP.

По идее нужно для целевых сервисов (кстати, какого они рода?) развертывть аутентификацию на Керберосе (ActiveDirectory) или с помощью сертификатов. Другого способа пускать/не пускать нет.

Можно еще поизвращаться с IPSec, по крайней мере параметры туннеля юзер самовольно менять не сможет, но я увы никогда не занимался им на уровне отличном от тривиальнейших туннелей.

Отдельного канала до серверной нет

Что хоть у тебя за локальная сеть такая? На нее документация есть? Сколько она у тебя по размерам? Сложно кинуть отдельный провод до серверной?