Je poste ici le résultat de mon expérimentation, pour la postérité.

J'ai donc utilisé un Linksys WRT54GL "de base" (100€ chez Surcouf). Je ne l'ai pas flashé, je n'ai pas modifié le bios.
Je l'ai configuré en tant que réseau "ouvert" (pas de WEP ou WPA). Pour le wifi, il distribue ces adresses IP du 192.168.1.100 à 192.168.1.200 . L'interface d'admin n'est pas accessible en wifi.

J'ai branché ce point d'accès sur un ordinateur équipé de deux cartes réseaux :
La carte nommée "LAN" est branchée sur un des 4 ports ethernet du point d'accès. La carte LAN est en IP fixe sur 192.168.1.2
La carte nommée "WAN" est branchée à un des 4 ports ethernet de la freebox. La carte WAN est un IP fixe sur 192.168.0.2 (la freebox doit etre correctement configurée).

Sur cet ordinateur, j'ai installé SQUID en mode "cache proxy". J'ai pas mal galéré pour la conf de squid, avec les ACL et tout ca, c'est quasiment incompréhensible...
Les choses importantes a mettre dans le squid.conf sont :
- indiquer que l'on utilise une authentification externe avec "auth_param basic program c:/WifiAccess/php/php.exe -c c:/wifiaccess/apache/php.ini c:/WifiAccess/wwwroot/wifiaccess/cli/hotel_auth.php" (oui je suis sous windows).
- spécifier les DNS a utiliser "dns_nameservers 212.27.54.252" (ceux de free.fr)
- créer les règles pour rejeter 192.168.x.x sauf si ils sont authentifier.
- écouter sur la carte LAN 192.168.1.2 port 3128.

Puis, j'ai réalisé une application en PHP/MySQL (apache et mysql sont installés sur ce serveur) afin de gérer les identifiants et les mots de passe et les dates de validité.

Pour se connecter a internet, le client doit demander un identifiant / mdp à la personne en charge du point d'accès. Celui -ci enregistre la demande et crée un compte et imprime une fiche récapitulative. Le client paramètre son ordi pour se connecter au réseau wifi ouvert, et configure son navigateur web pour utiliser le proxy 192.168.1.2:3128. Le navigateur va demander un login / mdp et l'utilisateur est alors connecté.

Voili voilo.