VPNs e sub-redes

Eu construí meu próprio roteador em uma máquina com 2 NICs, rodando Debian. A máquina vê meu endereço IP público de um lado e a rede interna (192.168.42.0/24) do outro. Estou tentando configurar implementações de todos os principais protocolos de VPN para acessar minha rede de road warriors.

Descobri que, com o OpenVPN no modo TUN, é necessário usar um intervalo de sub-rede diferente para os clientes conectados (por exemplo, 192.168.77.0/24). Se eu tentar usar a mesma sub-rede que minha própria rede interna (42), os pacotes não serão roteados e não poderão executar ping em máquinas dentro da rede a partir do cliente conectado via VPN. Configurando uma sub-rede diferente e empurrando uma rota, eu posso.

Como alternativa (ainda com o OpenVPN), uso o modo TAP e configuro bridging, posso configurar os clientes para usarem a mesma sub-rede da rede interna (42) e os clientes se comportam como se pertencessem à rede interna, e podem máquinas ping dentro da rede.

Para outras implementações de VPN (por exemplo, PPTP e L2TP), li muitos HowTos, mas eles não sabem se é necessário usar uma sub-rede diferente para os pontos de extremidade do cliente VPN.

A minha principal questão é, estes servidores (baseados nas implementações Debian pptpd e xl2tpd) requerem o uso de uma sub-rede separada para clientes VPN?

Eu também vi uma sub-rede separada usada para o próprio túnel (muitas vezes ilustrado no intervalo 10.x.y.z), então no final existem 3 sub-redes! Minha pergunta secundária é: esta sub-rede de túnel é necessária para que funcione? Eu não vejo o benefício lá.

(Eu tenho PPTP trabalhando na mesma sub-rede, mas sem transmissões, e é um pouco esquisito. Eu não posso obter L2TP sobre IPSEC trabalhando no IP público, apenas em uma máquina interna por trás NAT por algum motivo - questão separada !)

Obrigado Dave