Creio que dá para fazer algo melhor.
Apesar que já tentei, mas não tivemos tempo de testar com mais calma, e acertar conferindo com as informações que chegam ao Radius.
A idéia é:
independente de usuário e senha para logar (hotspot ou ppoe), que para AP aceitar o cliente, ela já precisa autenticar e conferir o MAC (é quase que um controle normal de MAC na própria AP, mas que com o uso do Radius, pode-se centralizar, assim você não precisa cadastrar o MAC naquela AP, e o dia que for mudar, tem que cadastrar em outra).
Como fazer?
na menu Wireless --> Security Profiles
Criar um profile, e marcar a ultima linha (RADIUS MAC Auth.....)
Depois no menu RADIUS --> criar um um Radius Server, selecionar no SERVICE, o item WIRELESS, e em Adress, apontar para o IP do seu servidor de radius (onde provavelmente vocês já usam para autenticar hotspot).
Não me recordo, mas precisa saber a senha ´secret´ do Radius, e acho que definir a porta.
Lógico que você precisa ter todos os macs guardados no seu banco de dados onde o seu radius buscará.
Dessa maneira, em qualquer AP que você tenha, em qualquer ponto da cidade, para o cliente apenas se conectar nela, já vai fazer a prévia autenticação do MAC, e após liberado, dai entra para a parte de hotspot e ppoe.
Se não me engano (vou ter que voltar a esse projeto para poder repassar detalhes), tem que também no menu WIRELESS, no Connect List criar uma regra, selecionar a interface (é que no meu caso nos testes estava fazendo uma interface por vez), e bem em baixo marcar o Security Profile com o nome que você deu anteriormente.