Captive portal architecture- internal atau eksternal?

Saya tertarik pada arsitektur portal captive. Awalnya pemahaman saya adalah bahwa tempat-tempat seperti bandara dan kafe internet akan memiliki semua infrastruktur RADIUS dan AAA di sisi lokal firewall. Setelah melihat model WISP (penyedia layanan internet nirkabel), ide awal saya tampak salah. Bahkan jika sebuah perusahaan menawarkan beberapa hotspot wifi publik yang berbeda, apakah mereka masih berpotensi mempertahankan server AAA, server web portal tawanan dan internal RADIUS di sisi lokal firewall?

Jika mereka membuat server RADIUS dan AAA terpusat, akankah mereka terhubung ke ini melalui VPN dari firewall dan mengeluarkan non-VPN ke internet setelah pengguna diautentikasi?

Saya hanya mencoba memahami arsitektur umum untuk wifi publik.

Ini sebuah contoh

Masuk akal untuk memusatkan layanan AAA jika Anda menyediakan infrastruktur untuk beberapa hotspot (misalnya, operator situs independen yang masing-masing menerima pendapatan dari bisnis yang menyediakan peralatan hot-spot dan layanan back-end) - selain dari hal lain, Anda ingin pelanggan mendaftar sekali dan kemudian dapat menggunakan hotspot Anda tanpa registrasi ulang yang terpisah. Layanan AAA terpusat (atau regional) cenderung lebih mudah dikelola daripada sistem yang sepenuhnya terdesentralisasi.

Jelas, penting bahwa gateway hotspot dapat berkomunikasi dengan server AAA dengan aman melalui jaringan publik. RADIUS adalah protokol AAA yang umum digunakan tetapi ketika klien RADIUS mengenkripsi kata sandi untuk dikirim ke server RADIUS, ada kekhawatiran tentang kekuatan RADIUS. VPN antara klien RADIUS dan server adalah salah satu cara untuk memberikan keamanan tambahan.

Lalu lintas pengguna tidak akan terpengaruh oleh VPN yang digunakan untuk RADIUS.