Danke für die ersten Hinweise!
Nach einer Nacht der Forschens kann ich so viel schon einmal sagen:
1. Der Radius Server startet nicht mit dem Start des VPNCenter Paketes, sondern erst, wenn mindestens einer der beiden Dienste im VPNCenter aktiviert wird.
2. Meine Änderungen in den Konfigurationsdateien sind auch nach einer Aktualisierung des DSM und nach Neustarts noch da.
Via Syslog konnte ich herausfinden, dass sich Radius-Server und Accesspoint (noch) nicht verstehen, weil sie unterschiedliche EAP-Varianten "sprechen". Mal sehen, wie sich das lösen lässt. Falls jemand einen Tipp hat: Immer gern her damit.
Nach wie vor offen ist die Frage: Ist die users-Datei auf der Synology der richtige Ortfür die Benutzeranlage? Wäre schon schön, wenn's so wäre, denn wenn das ganze irgendwann mal läuft, soll der Radius Server dem Accesspoint eine nutzerabhängige VLAN ID mit rüberreichen, die Gäste von Insidern separiert.
Gruß
Joachim