Это первое, что мне пришло в голову: не цепляться к циске, а сразу цепануться к керио, минуя 27 подсеть. Но Керио на старой винде и в перспективе будет меняться на что-то другое, типа forti gate, поэтому не хочется двойную работу, да и понять бы, такая схема вообще рабочая или нет.
Сейчас ведь на Керио весь трафик с 27 сети приходит также по WAN порту. И я спокойно пингую из 27 всю 60 подсеть. Просто 70 трафик выходит из туннеля на 27.1, а дальше также по широковещательным запросам прыгает на 27.5 (WAN Kerio), и вот тут засада, как на керио его заставить прозрачно НАТиться в 60 сеть? Ведь 27 пролазит, за счет
маршрутной карты
А
вот правила Керио НАТа