Здравствуйте, VPI, Вы писали:

RO>>Все компьютеры имеют «реальные» (не из RFC 1918) IP-адреса и никаких других.

VPI>То есть каждый компьютер каждой сети имеет свой индивидуальный статический реальный интернет адрес?

Имеет.

VPI>Тогда Вам надо только фаерволы настроить.

Не хватает шифрования при обмене данными между сетями. Если я воспользуюсь IPSec, то трафик будет шифроваться весь без исключения, а это лишнее, потому что каналы всего лишь T1. OpenVPN умеет соединять подсети, но оставляет при этом адреса неизменными, а я хочу, чтобы я мог обратиться к компьютеру 333.333.333.333 как по этому адресу (без шифрования), так по адресу, скажем, 10.0.3.333 (с шифрованием). Опять же, часть служб будут привязываться ко всем интерфейсам, а часть — только ко внутренним, для безопасности (понятно, что этого же можно добиться файрволлом, но сложнее).

Хотя, может, получится иначе? Есть ли возможность в iptables управлять тем, какой трафик должен идти через IPSec, а какой обычным образом? Тогда можно было бы исключить 22-й порт, и еще пару правил задать.