Conservation des logs de connexion WIFI et isolation réseau

Bonjour à tous,

Je me permets de solliciter ceux ou celles d'entre vous qui auraient des connaissances réseaux approndies. En effet, je suis amené à travailler avec quelques restaurants qui, comme souvent, proposent une connexion wifi à leurs clients sans trop se soucier des sujets légaux, je pense notamment à l'ARCEP et surtout à la CNIL qui oblige effectivement les restaurateurs / hotels installant des hotspot à conserver les logs de connexion pendant un an :

Adresse MAC / Heure de connexion & déconnexion des clients / Adresse IP / Adresse IP de réception.

Exemple de configuration basique dans un petit restaurant dont je dois m'occuper :

- une box 
- un switch poe
- un points d'accès WIFI type Unifi d'ubiquiti dédiés aux caisses/TPE, que j'ai rendu administrable grâce à un controleur installé sur un PC
- un routeur WIFI clients pour la salle principale

La configuration est différente dans les restaurants plus grands et sur 2 étages.

J'aimerais donc pouvoir enregistrer les logs de connexion clients sans partir sur une configuration matérielle onéreuse dans chaque restaurant... Si le coût n'était pas un sujet j'aurais mis en place des routeurs Fortinet partout (quasi tout en un, firewall, vlan, logs...) mais je pense qu'il existe des solutions plus simples et plus aborables pour des petites structures, d'autant plus que le wifi est relativement peu utilisé par les clients, c'est un petit service du restaurateur (tout le monde à la 4G/5G aujourd'hui). Seulement voilà, en cas de problème, il faut pouvoir monter patte blanche aux autorités.

Pour les logs et leurs conservations j'ai vu qu'il était par exemple possible d'installer un portail captif (sous licence) sur des points d'accès Netgear (type WAX) ou autre mais je n'aime pas trop l'idée. Avec Netgear il faut necessairement passer par une appli mobile pour piloter ses matos, faire appel à un revendeur pour les licences...

J'ai aussi pensé à la piste Syslog : Les logs de connexion des differents restos pourraient être poussés vers un NAS Synology existant sur lesquel est installé un serveur Syslog.

J'ai abandonné la piste Proxy en raison des problèmes avec le HTTPS.

Auriez-vous en tête quelques solutions abordables sur le plan financier (switch niveau 2-3, routeur, point d'accès wifi, externalisation du service...)  ?

Enfin, deuxième et dernier point, j'aimerais aussi isoler le réseau magasin du réseau client (wifi).  Le routeur WIFI isole déjà partiellement les clients du réseau principal (on retrouve box/camera/caisse/tpe en scannant les IP sur le réseau de la box depuis le WIFI Client mais on ne peut pas les atteindre en HTTP/S. Impossible donc pour un client d'accéder à la page d'admin de la box par exemple. C'est une sécurité minimale qui m'apparait à priori peu satisfante, mais après tout je me dis qu'il ne s'agit que de restaurants et pas de sociétés abritants des dossiers secrets défenses... Ce type d'isolation partielle offerte directement par des points d'accès ou des routeurs WIFI vous parait t-elle acceptable ?

Autrement, l'idée serait d'isoler réellement les réseaux avec un VLAN grâce à un routeur ou un switch de niveau 3 (VLAN) mais je me demande si ce n'est pas un peu beaucoup.

Voilà... Si vous avez des idées qui me permettraient de mettre en place une solution permettant de conserver / récupérer les logs de connexion à la demande des autorités et si possible d'isoler les réseaux, le tout sans trop d'investissement, je vous en serais très reconnaissant :) Le plus important pour moi reste la retention des logs

Merci d'avance pour votre aide !

Vincent
Windows / Chrome 103.0.0.0