xmoonlight, 1ое - не люблю вайтишников. 2ое - если тупой свитч сможет принять и переслать кадр размером 1522 значит он пропускает тегированный вланом кадр сквозняком, а это 99 процентов успеха работы транка
Используется PEAP-mschapv2. Если терминация происходит на точке доступа, аутентификация проходит. Точка отправляет клиенту пакет access-request (содержимое в теме есть) там атрибуты MS-CHAP-Challenge и MS-CHAP2-Response вероятно как-то из них radius извлекает NT-hash (но как он понимает, что нужен именно NT-hash)? и почему радиус не может извлечь тот-же nt-hash в момент, когда терминация eap происходит непосредствеено на нем?
poisons, ну хотябы в том, что если не промаркировать интерфейс командой ip tunnel add tun11 mode vti local 9.9.9.9. remote 9.9.9.9 key 6, которую кстати придется добавить в interace pre-up, то route-based работать не будет. Также проблема если в конфиге ipsec.conf не добавить leftsubnet=10.15.130.6/30 ,192.168.38.252/32 трафик с другого конца ipsec туннеля на этот хост 192.168.38.252/32 не пойдет.