Управление пользователями на основе VPN / доступом VLAN к тестовой среде

Я участвую в настройке демонстрационной / пользовательской лабораторной среды, состоящей из нескольких стоек серверного комплекта. Идея заключается в том, что потенциальным клиентам оборудования / программного обеспечения может быть предоставлена ​​учетная запись VPN, которая позволит им входить только в конкретный комплект. Основная проблема заключается в том, что пользователи могут делать с серверами все, что хотят, в зависимости от операционной системы (Windows, Linux, ESXi, Xen...), поэтому я считаю, что нужно изолировать их от определенной VLAN с их комплектом на соответствующих портах коммутатора., это возможное решение.

Я планировал использовать бастионный сервер для управления учетными записями VPN и рассматривал ClearOS, потому что его графический интерфейс упрощает настройку / контроль доступа для лабораторных специалистов, но я не вижу способа настройки управления VLAN, чтобы, для Например, пользователь VPN 1 находится в сети VLAN 10, а пользователь VPN 2 - в сети VLAN 15 и т. д.

Я надеюсь закончить настройкой на основе графического интерфейса, где рабочие усилия распространяются на настройку учетной записи VPN пользователя, указание их целевой VLAN и обеспечение того, чтобы их целевые системы были подключены к соответствующему банку портов коммутатора. По сути, я надеюсь избежать необходимости регулярного редактирования множества вещей iptables и т. Д.

Из некоторой работы, которую я сделал несколько лет назад, я также подумал, что коробка Mikrotik с RouterOS могла бы делать такие вещи, но у меня нет ни одной, с которой можно поиграть прямо сейчас.

Я задавал этот вопрос на форумах ClearOS, но ("сверчки"), так что у кого-нибудь здесь есть опыт с этим типом установки - любые рекомендации или мысли приветствуются.

Благодарю.