Используемые обозначения:
шестиугольники (синий) - статическая часть от провайдера
квадраты (красный) - динамическая часть от провайдера
овалы (черный) - домашная сетка

/etc/rc.conf

ifconfig_rl0="inet 10.108.99.37 netmask 255.255.255.0" # внешний интерфейс (на схеме ## 9, 13)
ifconfig_re0="inet 192.0.2.1 netmask 255.255.255.128" # моя локалка (на схеме ##12, 14)

# прямые маршруты к служебным машинам провайдера, необходимы для запуска
kvidex_router="10.108.99.1" # отдельный шлюз на провайдера (на схеме #7)
static_routes="dns1 dns2 pptp l2tp rtrs"
route_dns1="-host 93.182.32.2/32 ${kvidex_router}" # 1-ый dns-сервер (на схеме #5)
route_dns2="-host 93.182.33.2/32 ${kvidex_router}" # 2-ой dns-сервер (на схеме #5)
route_pptp="-host 192.168.0.17/32 ${kvidex_router}" # pptp-сервер (на схеме #4)
route_l2tp="-host 192.168.0.200/32 ${kvidex_router}" # l2tp-сервер (на схеме #4)
route_rtrs="-host 192.168.0.31/32 ${kvidex_router}" # сервер с актуальным перечнем пиринговых сетей (на схеме не указан)

этого минимально достаточно для запуска vpn-соединения в большой интернет, причем шлюз (на схеме #6), defaultrouter в терминах /etc/rc.conf, вставит mpd самостоятельно при установлении соединения (при соответствующих настройках)

но совершенно недостаточно для доступа к ресурсам локальной и особенно пиринговых сетей из моей локальной сети: нужно организовывать 2 nata: 1-ый в сеть провайдера/пиринга (на cхеме ##3,2) через ethernet-интерфейс 10.108.99.37 (на схеме #9); 2-ой -- в большой интернет (на схеме #1) через vpn-соедиение (на схеме #8)

[691x501]