Доброго времени суток!
Хочется услышать мнение/совет по следующему вопросу
на данный момент имеется схема:

<LAN>---<FreeBSD>---<Cisco2821>---<ISP>---

Cisco2821-SEC/K9 - 2 интерфейса
FreeBSD - Front-end для MS Exchange, DNS, proxy etc

есть 10 филиалов которые планируется "прицепить" к 2821 с помощью 871, ASA5510 и т.д.
/здесь как будто все ровно и гладко/

есть 150-200 мобильных пользователей с PDA использующих время от времени сетевые сервисы в зоне LAN
есть до 50 мобильных пользователей с ноутбуками (в т.ч. "домашние") которым нужен доступ к сетевым сервисам LAN
в принципе, на данный момент пока все..

дабы не путать с сетевыми интерфейсами частичный конфиг 2821:
#========
nterface Tunnel10
description *** IP-IP tunnel to ISP ***
ip address 193.XXX.XXX.XXX 255.255.255.252
ip mtu 1500
ip nat outside
tunnel source 172.20.13.33
tunnel destination 172.20.13.1
tunnel mode ipip
!
interface Tunnel20
description *** IP-IP branch ***
ip unnumbered GigabitEthernet0/0
tunnel source 193.XXX.XXX.XXX
tunnel destination 85.XXX.XXX.XXX
tunnel mode ipip
!
interface GigabitEthernet0/0
description ***  LAN  ***
ip address 10.10.10.1 255.255.255.248
ip nat inside
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ***  WAN  ***
ip address 172.20.13.33 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
#========
теперь вопросы ;)
1. каким образом сюда лучше воткнуть клиентов с PDA использующих PPTP
2. мобильных/домашних пользователей /Cisco VPN Client/

буду признателен любым конструктивным советам, ссылкам, примерам..