Солидарен с коллегой, скрипты не вариант. Проще сделать через radius. Там и скорость можно раздать клиентам и по разным vlan'ам развести. Функционал огромен и гибок.
Этот вариант не подходит , так как каждый маршрутизатор имеет выход в сеть. Следовательно применить политики на первом, по пути следования, маршрутизаторе не выйдет. Применить политику можно будет только на промежуточном маршрутизаторе, а из-за того что филиалам не нужно знать структуру сети на центральном, будет использован NAT, то и пакеты они не смогут вернуть в центр.
Dmitry Tallmange, Есть сервер, на нем поднять hyper-v, на нем поднят маршрутник. все адреса упираются в него, астериск за ним, без маскарадинга. Адреса можно раздать на него просто так, можно через pppoe.
Я это уже видел,спасибо, но дело в том что в windows 2008 r2 В NPS нет такого атрибута как Framed-IP-Address, Framed-IP-Netmask этот есть. В логах Микротика атрибет Framed-IP-Address появляется, но уже после того как установлено соединение и адрес из пула выделен.
add address-pool=ipsec-pool name=mobile_android_client split-dns=10.1.16.1 split-include=10.1.16.0/29,10.200.120.1/32 system-dns=no
/ip ipsec peer
add exchange-mode=ike2 name=IPSec-server-IKE2 passive=yes
add name=IPSec-svr-main passive=yes
/ip ipsec policy group
add name="android mobile client"
add name=l2tp-server
/ip ipsec profile
add name=android
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add name=l2tp-server
/ip ipsec identity
add auth-method=pre-shared-key-xauth generate-policy=port-strict mode-config=mobile_android_client password=YOUR_PERSONAL_PASS peer=IPSec-svr-main remote-id=ignore secret=asdfghjkl username=YOUR_USER_NAME
add comment=l2tp-server-in generate-policy=port-strict peer=IPSec-svr-main policy-template-group=l2tp-server remote-id=ignore secret=YOUR_L2TP_PASS
/ip ipsec policy
add group="android mobile client" template=yes
add group=l2tp-server proposal=l2tp-server protocol=udp template=yes