Отдельные L2TP/IPsec VPN с динамическим назначением VLAN

Я работаю над Linux (Debian 7) VPN-концентратором для различных видов удаленного доступа. Один из предлагаемых протоколов - L2TP/IPsec из-за доступности клиента. Я использую xl2tpd, который в свою очередь использует pppd и pppd аутентифицирует пользователей через RADIUS-сервер.

То, чего мы хотели бы достичь сейчас, - это контроль доступа к сети на основе подключения пользователя к VPN. Например, пользователь A должен иметь возможность доступа только к подсети X, а пользователь B должен иметь доступ к подсети только Y. Фактически это похоже на динамическое назначение VLAN для WLAN. К сожалению, я не смог найти (поправьте меня, если я ошибаюсь) готовое решение для L2TP/IPSec VPN под Linux. У меня возникла идея, которая могла бы сработать, но она выглядит как изрядное количество работы, и поэтому я хотел бы знать, есть ли в ней какие-либо явные недостатки или есть даже более простой способ.

Идея: использовать атрибуты динамического назначения VLAN из RADIUS (особенно Tunnel-Private-Group-Id) и плагин radattr.so для ppp. xl2tpd назначает каждому подключенному клиенту новый виртуальный интерфейс pppX, а плагин создает файл /var/run/radattr.pppX, содержащий все атрибуты, полученные от сервера RADIUS. Эти атрибуты могут использоваться сценарием ppp-ifup для назначения вновь созданного виртуального интерфейса для бриджпорта Linux с соответствующей VLAN.

• Кто-нибудь еще строил такую ​​конфигурацию?
• Что-нибудь мешает этому работать?
• Вы бы вообще не одобряли эту конфигурацию по какой-то причине?

заранее спасибо