Mais seria uma wpa por cliente, se quebrar quebra apenas uma, trocou acabou, e foi o que eu disse antes, se o cara entra fica só falando com o servidor se vc fechar todas as suas torres e cartões em cima de uma estrutura de vlans, por que com as vlans vc faz um tipo de ptp virtual do cliente para o servidor. Só não indico wpa dinamica em cima do radius por que come muito processamento do rádio. E no caso das vlans os clientes não precisam suportar não, por que o que isola os clientes é o forward bloqueado no cartão do ap, a vlan serve para uma torre não comunicar com a outra e para um cartão não conversar com o outro dentro da routerboard.
Certificado digital é legal, porém vpn não é. Por que se vc vai usar vpn é melhor usar pppoe que também é uma vpn e é mais facil de o cliente configurar. Problema que tanto vpn quanto pppoe caem com latencia alta, e para manter esses serviços sua rede tem que ser impecavel. Eu estou pesquisando um pouco authpf do freebsd, se eu conseguir fazer um clientezinho para windows seria legal, ai vc cria um tunel ssh que suporta mais latencia que um tunel pppoe, e o tunel ssh não é para navegação é apenas para dizer que o cliente está ativo, e o legal que cada tunel ssh tem a sua criptografia sua chave ou seja ele faria o mesmo que um certificado só que de forma mais simples e o melhor dinamico, cada vez que o cara loga voce pode mudar a chave. Vou pesquisar como fazer um clientezinho para windows que faça esse tubo ssh num servidor freebsd ^^
E gente não tem por que fugir de freeradius, tem muita coisa aqui no forum a respeito, centraliza a configuração da rede, e vc pode permitir ou negar varias coisas como qual cliente pode conectar em qual cartão, freeradius é legal.