Первый раз в жизни понадобился VPN (remote access по выделенке, не site-to-site или dial-in, а просто для "мобильных" клиентов). Что есть: выход в инет через Cisco PIX, на внешнем интерфейсе PPPoE-подключение к провайдеру. Повесить на него же VPN-сервер Cisco, понятно, не дает.
Не вполне понимая сути процесса, рискнул поднять VPN на внутреннем сервере и опубликовать на Cisco порты, и уткнулся:
1) оно так вообще можно? На внутреннем сервере одна сетевушка с частным адресом. Т.е. с циски с порта 12345 все перенаправляется на него.
2) а какие порты публиковать надо?
Просьба наставить на путь истинный.

Тут (внизу) нашел, что это все нормально, остаются детали...

В общем, схема такая (для pptp):
1. на циске или любом другом брандмауэре разрешаем ip-протокол №47 (GRE)
2. там же публикуем порт 1723 внутреннего сервера VPN
3. на внутреннем сервере поднимаем VPN в custom configuration.
По идее больше ничего и не надо, только вот клиент коннектится и дохнет на проверке пароля, а сервер пишет ошибку насчет gre-пакетов. Пока грешу на провайдера, может, он режет :(

Все, заработало. По шагам:
1) настройка транзита через брандмауэр к VPN-серверу, расположенному внутри сети
cisco pixfixup protocol pptp 1723
static (inside,outside) tcp interface 1723 192.168.0.X 1723 netmask XX.XX.XX.XX 0 0
access-list 102 permit tcp any host XX.XX.XX.XX eq 1723
access-list 102 permit gre any host XX.XX.XX.XX
access-group 102 in interface outside - может, лишнего написал, не особо силен.

2) установка VPN-сервера на внутреннем сервере Win2003 с одной сетевушкой:
- Configure Your Server, добавляем роль Routing and Remote Access Server-Custom Configuration-Remote Access и далее по течению
- выбираем пользователя, на вкладке Dial-In ему разрешаем (ставим галку).

Все, можно коннектиться снаружи. Т.е. можно построить VPN на основе публикации внутреннего сервера Win2003 с одной сетевушкой на точке, смотрящей наружу (аппаратной или софтовой).