З іншого боку, тут можна часто побачити питання на тему недоступності віддалених мереж через тунелі через недостатність правил маскування. Навантаження процесу firewall при 60000 p / s однакова в обох випадках, пакети в межах однієї мережі не обробляються правилами NAT. ІМХО, якщо відмінностей більше немає, це скоріше питання переваг в конкретних ситуаціях і обидва варіанти, як і інші мають свої області застосування. У моєму випадку WAN-інтерфейсів багато і вони часто змінюються, а локальні і ВПН-підмережі постійні, тому зручніше здійснювати трансляцію на основі src. address, а продуктивності заліза більш ніж достатньо, щоб розрулювати доступність одних мереж для інших за допомогою / ip firewall filter.
HawK. в межах однієї мережі пакети взагалі на шлюз не потрапляють, а ось все що потрапляє на шлюз в у другому підході буде оброблятися правилами NAT, які куди більш ресурсомісткі ніж просто файрвол. Коли у вас багато WAN інтерфейсів правильніше створити Interface list і створити одне правило для нього. Маскувати трафік за діапазоном локальної мережі погане заняття, яке не має протипоказань "в лоб", але зіграє поганий жарт якщо його не враховувати в майбутньому. Це як ходити з зарядженою рушницею знятим з запобіжника, це ж просто підхід і смаківщина, комусь подобається розряджати і ставити на запобіжник, комусь ні, адже немає ж різниці =)
Євген Биченко. Олександр Романов. Раніше якось не надавав значення тому, що локалки у мене через NAT взаємодіють, так історично склалося, зате ніяких проблем з доступністю мереж не було) Втім, воно і не заважає, хоча, звичайно, потрібно все перенастроювати, відповідно до ваших рекомендацій .
Дякую за ваші вичерпні відповіді, допомогли розібратися в цих тонкощах.