To záleží na situaci.
Když chce hospoda svůj hotspot nebo nám nedává smysl tam dávat náš, tak jim navrhujeme mikrotik jako router + unifi jako APčka (když se jim to takto nezdá, neděláme to vůbec). Za drobný měsíční obnos jim pak navrhneme druhou veřejnou adresu (druhou konektivitu se samostatnou rychlostí) a hotspot strkáme za ni. Je na nich jestli tohle chtějí nebo ne. V takovém případě jsou provozovatelem hotspotu oni, my nic nelogujeme, ale pokud to mají na oddělené IP tak je pak policajtům alespoň možné říct, že to bylo z hotspotu. Zákaznické unifi (i když má někdo dva kousky doma) připojujeme do našeho controlleru - pro každého zákazníka tam uděláme samostatnou site, můžeme mu k ní dát heslo... Je to jednodušší než mít jen kvůli konfgurace controller někde na zákaznickém PC nebo dokla obnovovat a zálohovat controllery na NTB techniků.
Když nám dává smysl tam dát náš "propagační" hotspot, tak je to celé v naší režii (občas si necháme něco jednorázově zaplatit pokud je tam potřeba kvůli pokrytí více APček). Pak je máme v controlleru ve své hotspotové site, po L2 jsou připojené až k "centrální" hotspotové GW na mikrotiku. Ta má svoji veřejku (takže pro policajty víme, že to byl někdo někde na našem hotspotu), děláme tam netflow do nfcapd, z čehož jsme schopni dohledat MACku zařízení. V controlleru máme nastaveno, že se eventy drží 180 dní, takže můžu ručně dohledat na kterém AP byl klient připojen. S těmito daty a dostatkem hotspotů bych mohl klienta i slušně sledovat, ale to policajtům raději moc neříkáme