Создал таким образом профиль "VPN профиль" и еще сегмент сети "Изолированная сеть", где в поле "Профиль доступа для незарегистрированных устройств" указал этот профиль, включил DHCP, NAT и изоляцию клиентов в этом сегменте.
1) Мне нужно назначить профиль не устройству, а определенному IP адресу (который назначает VPN сервер когда я подключаюсь за одного из пользователей). В списке устройств ничего похожего нет.
2) Если в настройках VPN сервера в поле "Доступ к сети" выбрать новый сегмент, похоже что оно влияет только на видимость, а не на принадлежность. Через CLI тут можно задать любой интерфейс, хотя WEB интерфейс дает на выбор только сегменты:
Судя по всему при подключении к VPN серверу в кинетике, соединения на этих адресах считаются известными и подчиняются "Основному профилю". Ставить VPN подключение наверх в основной политике - не то что я хочу т.к. в таком случае весь трафик обоих пользователей будет идти через VPN подключение, что для admin не нужно.
Межсетевой экран как я понимаю разрешает либо запрещает обращаться из одного сегмента в другой. Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. За это должен отвечать PBR, но в WEB интерфейсе нет настройки для IP адресов, только для известных устройств.