server inner-tunnel {
    listen {
        type = auth
        ipaddr = 127.0.0.1
        port = 18120
    }

    authorize {
        # Primero obtenemos credenciales del usuario desde el API
        rest.authorize_inner_tunnel
        # Luego dejamos que EAP procese (PEAP/MSCHAPv2)
        eap
        # mschap puede establecer Auth-Type si procede
        mschap
    }

    authenticate {
        # Autenticación EAP (PEAP/MSCHAPv2)
        eap
        Auth-Type MS-CHAP {
            mschap
        }
    }

    post-auth {
        # Aquí podríamos añadir lógica adicional de auditoría si se desea
        # No agregamos atributos de reply aquí; se añadirán en el outer post-auth
    }
}