El siguiente escalon de seguridad en una red wifi (WISP)

Hola amigos, quiero preguntar aqui en el foro acerca del siguiente escalon en seguridad de la red que administro, resulta que tenemos (vamos empezando) una red con 50 clientes (WISP), el primer escalon de seguridad que he puesto ha sido la contraseña al wifi que tiene WPA2-AES PSK, el siguiente un MAC ACL para filtrar a los que pudieran conseguir de alguna manera el pass, el siguiente escalon seria (digo yo): bloquear de alguna manera el acceso al internet clonando el mac address, seria algo como kerberos? (en la wiki dice que cualquier usuario puede tener el codigo fuente, por eso pienso que seria opcion).

La competencia tiene estos 2 escalones, una contraseña y un ACL de MAC, he clonado el mac y logrado entrar en su red, quiero proteger mi red de este tipo de ataque, ideas libres ??; poseo un mikrotik RB750r2 que la hace de balance de carga "??" (Servidor DNS, DHCP, NAT, FIREWALL) pero veo que tiene bastantes cosas, tire a la basura el cusco, digo cisco por ser segun yo muy privativo, sin embargo me gustaria que algun tipo de servidor de autenticacion corriera en mi trisquel para "monitorear" que no cloneen la mac y se cuelen en la red, como dije, kerberos parece ser soft libre pero si conocen alguna otra opcion libre, de lujo, grax y sds libres.