Коллеги,
Есть задача объединить несколько сетей с неизвестной IP-адресацией внутри VPN-сервера с которым устанавливают соединения маршрутизаторы из каждой сети.
Схему можно увидеть на картинке. Техническая составляющая:
Transparent Proxy - CentOS 7
Router #X - Дешевые wifi-роутеры умеющие поднимать PPTP + отключено NAT'ирование под сетей
Под сети за router'ами могут быть любые и скорее всего они пересекаются.

Есть две идеи как это запилить
1) SNAT средствами iptables интерфейсов pppX + обратный маршрут к SNAT'еной сети
2) Тэгирование пакетов в iptables + policy-routing

Но реализовать на Transparent Proxy у меня не получилось. Первый способ наиболее приемлем.

Вся эта история нужна для выхода пользователей под сетей в интернет, так как на proxy стоит squid работающий в transparent режиме + прикручена авторизация.

miksoftЗачем?
Я бы предложил включить обратно. Тогда пусть хоть все подсети будут одинаковыми.
потому что в этом случаи, невозможно будет сделать авторизацию на проксе.
Ivan_Pisarevsky Зачем?
заведомо глюкодром, начните с разводки по разным подсетям, иначе "день сурка" ваше всё.
не вижу глюкодрома. Да и сетей, у меня не три, и даже не 200. Привести в порядок вселенную в мои задачи не входит
неТолик1 ставим впн сервер на комп который схематично изображен как прокси.
У меня там и стоит VPN-сервер.

miksoftTepKuHпропущено...
потому что в этом случаи, невозможно будет сделать авторизацию на проксе.А какая именно используется авторизация?
WEB.
Логика в том что если IP-конечного клиента не авторизован его кидает на мою страницу авторизации. Он там ввводит криденшелы, IP заносится в mySQL и прокся пропускает в инет. IP же клиента не обязательно должно быть реальным. Оно может быть за SNAT'чено. Главное что оно уникальное во всей этой сети и уже "приведено в порядок" т.е. без коллизий

Человек обязан пройти авторизацию через WEB чтобы получить доступ в инет.
Как только он проходит авторизацию выполняется iptables правило (которое со временем протухает и случается его удаление для конкретного IP) которое пропускает "на сквозь" весь сетевой трафик минуя прокси.

Оно примерно и взято. Это раз.
Во вторых это не огород. Это штатный способ. Например о нём можно почитать тут.
http://habrahabr.ru/post/117320/
Проблема в том, что у меня просто не получается примерно это сделать.

неТолик1,
Удаленных клиентов овер дофига. Там даже не тысячи людей. А самих сетей несколько сотен. Ну не возможно заставить все подсети
следовать опред. адресации. Их после подключения к VPN нужно "приводить в порядок".
Всё что вы написали так и сделано + еще пару правил маскарадинга и проброс на squid 443\8080 порта

неТолик1,
Реализация авторизации (по средствам captive portal)клиентов удаленных сетей. Удалённые сети имеют пересечений в IP-адресации (это господа такое ТРЕБОВАНИЕ, советы аля приведите адресацию в порядок не катят)
Для реализации этого требования вижу след. шаги:
1) Поднимается PPTP на моём сервере
2) Удаленные сети отключают NAT на роутерах и настраивают свои роутеры на подключение к моему PPTP
3) На сервере поднимается правило iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
4) На сервере поднимается squid и включается авторизация посредством механизма external_acl_type которому на вход подаётся IP-адрес клиента. (если IP-клиента есть в базе его пускает в инет, если IP-клиента нет в базе, его кидает на страницу captive portal посредством правила)

Как вы понимаете проблема в 4ом пункте. Где на вход модулю авторизации нужно подавать IP-адреса уже в приведенном к нормальному виде. Так как может случится так что например IP 192.168.1.1 из одной сети прошел авторизацию. А точно такой же IP(192.168.1.1), но из другой под сети не прошел авторизацию, что не допустимо.

Задача тревиальная если использовать два сервера, на одном VPN, на втором squid. Но проблема в том что механизм SNAT в таблице nat в iptables работает только в POSTROUTING, т.е. уже на выходе физического интерфейса.

неТолик1,
В этом случаи клиенты удаленных сетей будут НАТироватся на своих роутерах. Что исключает возможность авторизовывать их на проксе.
Как мне все таки кажется, мне тут без двух машин не обойтись :(
На одной поднять просто VPN и маркирвать на входе пакеты механизмом conntrack zones, далее заворачивать вообще весь клиенкий трафик на вторую машину, но по выходе из интерфейса первой машины SNAT'ить (или NETMAP'ть не суть важно)
Т.е. как то так
роутер удаленной сети -> Интернет -> pppX -> iptables PREROUTE -j CT - > iptables POSTROUTING -j SNAT -> eth0 -> ...сервер с proxy... -> eth0 -> iptables PREROUTE -j REDIRECT -> squid:3128 -> Интернет