ROS IKEv2 + RADIUS WINDOWS SERVER (NPS)

[insect_87]

Добрый день.
Собственно:
1.Сервер аутентификации: win server 2016 с ролью NPS.
2.Аутентификатор: сервер с ROS (IKEv2)
3.Клиенты
Когда сам сервер аутентификации настроен на ROS по сертификатам - все работает.
А вот с отдельным радиусом на win - нет.
Вопросы:
1. Какой тип аутентификации использовать на windows-радиусе для ikev2 (peap, eap-mschapv2)?
Может есть какие-либо нюансы?
Желателен вариант с аутентификацией клиентов по учетке в AD + проверка сертифииката сервера аутентификации.
2. В случае с радиусом на win,
на радиусе должны быть установлены CA, SERVER_CERT
а на клиенте CA, CLIENT_SERV?
3. Можно ли для ikev2 завязать конкретный туннельный адрес к конкретной учетке в AD (как для L2TP OVER IPSEC), а не рандом из пула в mode config?

[insect_87]

UP.
Есть у кого-то хотя бы предположения?