Рекламный блок.

1-й - дикий, но вполне рабочий:
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. IP выданный клиенту, используя SNAT и DNAT, подменяем реальным. В результате у клиента появляются все возможности работы с реального IP.

Отпадает по причине нестабильной работе одной из наших Cisco при поднятом NATе одновременно с NETFLOW. Может новая версия IOS что то и изменит.

2-й - VPN, уже предлагался
тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. Дальше клиент проходит VPN авторизацию, где ему выдается 1 реальный IP. Из под которого он без проблем получает доступ в интернет.

Есть над чем подумать, спасибо

Кстати, хотел бы узнать мнение тех кто в интернет "ходит" через VPN.
И как ведут себя сервисы поднятые на ВНП каналах. Лично мои воспоминания о пользовании интернетом через ВПН не совсем приятны. Не раз приходилось переподключаться, так как сессии рвались. В конце концов в Crone пришлось прописать каждые полчаса проверку того есть ли канал и если нет то Cron "поднимал" его заново.

Koios
Давайте угадаю, речь идет о PPTP VPN на не очень стабильном канале ?
Есть такая болезнь у него.

SlavaD
Я был всего лишь клиентом - не в курсе что было поднято у провайдера Сам как-то поднимал MPD под FreeBSD - вроде все работает до сих пор без нареканий (но без нагрузок). Читал что OpenVPN самый лучший. Хотя в последнее время Cert зачастил о уязвимостях в нем.....
Посему интересны мнения...
Например что вы мспользуете в кач-ве сервера ?

По разному, от ситуации зависит, VPN pptp, IPSec.
Сервера под линуксом.

вообще инкапсуляция TCP over TCP плохая вещь , связанна с известной проблемой MRU, те управлением размером окна MTU.
Была статья очень интересная об особенностях работы инкапсулированного трафика на каналах с дропами....
Почему TCP поверх TCP - плохая идея

но терминирование клиента VPN , наиболее удобная и красивая идея, особенно если есть устройства для этого предназначеные, типа DSLAM'ов с vlan'овыми портами и поддержкой 802.1x, и считать удобно и управлять тоже. Все удовольствия в одном флаконе, те в Radius'e.

Koios

Кстати, хотел бы узнать мнение тех кто в интернет "ходит" через VPN.
И как ведут себя сервисы поднятые на ВНП каналах. Лично мои воспоминания о пользовании интернетом через ВПН не совсем приятны. Не раз приходилось переподключаться, так как сессии рвались. В конце концов в Crone пришлось прописать каждые полчаса проверку того есть ли канал и если нет то Cron "поднимал" его заново.

У меня как раз ситуация доступа в интернет через реальный ip с помощью pptp vpn. Иногда бывает, что соединение держится днями, иногда - рвется несколько раз за полдня, о причинах такой работы ничего не могу сказать, т.к. для этого нужно одновременно видеть и сторону провайдера, а такой возможности у меня нет. Возможно указанные постоянные проблемы с обрывами сессий происходят при работе шифрования, у моего провайдера оно не применяется и вводить его зачастую нет смысла.

SlavaD

тратим на клиента сеточку из 4-х IP как и раньше, но IP выдаем из приватной(фейковой) сети. IP выданный клиенту, используя SNAT и DNAT, подменяем реальным. В результате у клиента появляются все возможности работы с реального IP.

Имхо в теории не все возможности. Сервисы, которые в пакетах прикладного уровня хранят информацию об ip-адресах, при такой схеме работать не будут без дополнительных модулей conntrack и nat (если говорить про netfilter), которых может и не быть. На практике правда я с такими сервисами не встречался, но при желании можно написать .