Как подключить беспроводные точки доступа к тому же серверу Radius, если сервер находится в другой подсети?

Я пытаюсь создать следующую настройку. У меня есть брандмауэр pfSense с двумя сетевыми картами (Интернет - WAN/LAN - Switch). Я настраиваю VLAN на коммутаторе, таким образом, я получаю 3 подсети. Подсеть для серверов и компьютеров администратора 192.168.100.0/24, подсеть для беспроводных устройств 172.16.0.0/20 и подсеть для локальных компьютеров, которые всегда подключены через порт Ethernet 172.16.16.0/21. Я настроил контроллер домена с AD для управления моими пользователями на 192.168.100.100. Я настроил свой pfsense, чтобы он предоставлял DHCP для каждого из VLAN. Я добавил подсети в DNS на сервере Windows, поэтому любой клиент, который подключается к любому из интерфейсов 172.16.xx, получает правильный параметр конфигурации IP и может получить доступ к почтовой службе, которая также работает на сервере Windows. Все идет нормально. Проблема в том, что я хочу защитить соединения Wi-Fi с WPA2-Enterprise. Я уже настроил RADIUS-сервер на компьютере с Windows-сервером. Я проверил его, и он работает, я использовал беспроводной маршрутизатор со статическим IP-адресом локальной сети вне области DHCP, чтобы он работал как коммутатор. Клиенты подключаются, и появляется защита, позволяющая доступ к сети только пользователям в моей AD. Но когда я изменяю беспроводной маршрутизатор на подсеть, он должен быть включен (172.16.0.0/20), он не может связаться с сервером Windows, работающим на 192.168.100.100, так как он находится в другой подсети. Итак, как я могу сделать это без необходимости перемещения компьютера с Windows-сервером из сети 192.168.100.x. Я хочу иметь один сервер RADIUS. Что-то не так с моим подходом? Любые советы или предложения приветствуются.