持田@NETside です。フォローありがとうございます。

> IPsec は、1個だけなら出きるというのは、原理的にそうかなあと
> 思いました。内側は、NAT といっても IP アドレスは固定ですよね。
> 外側に来た IPsec のパケットを、全部内側のその1個のコンピュー
> タに投げればいいから。arp で MAC アドレス調べて。

 そうですね、「VPN パススルー」をうたっている製品だと、2 つめが
ちゃんと断られて、1 つめが使わなくなってしばらくすると別のが
使えるようになる、とかするみたいです。(違うのかな、ひょっとして..)
一応、IKE の様子を監視してるんでしょうかね...

> PPTP は、RFC 2637 の Enhanced GRE header の Call ID で区別で
> きるかも。ただ同じ LAN の中でぶつからないという保証はないだ
> ろうから、ぶつかったら終りかも。

 ああ、なるほど、プライベート IP と Call ID のペアを覚えておけば
内側へ振り分けることができるわけですね、勉強になります。

>>  IPFilter/ipnat 等で、同様の機能を実現できるでしょうか?
> 
> この GRE ヘッダの上についている IP Header を書き換えるという
> ことですね。分かりません。

 Unix あたりでそういうことできるのはないんですかね..

-- 
持田 修司 NETside Technologies Inc.
          -- Equal Opportunity for All Good Architectures, NetBSD. --