2 одинаковых подсети

Читай про iptables NETMAP.

вот спасибо =)

NETMAP только в целые подсети, или можно подменять только конкретный ip ?

Как пометишь пакеты / напишешь правила - так и будет работать.

iptables -t nat -A PREROUTING -d 172.17.1.254 -p tcp -j DNAT --to-destination 192.168.0.254
                               ^
                               |

Прекрасный способ стать незаменимым админом

Про незаменимость узнают только после увольнения, так что все равно.

ну хз хз, регулярные проблемы с протоколами типа SIP или FTP могут со временем приучить к мысли что не всё так просто

Или наоборот, что пора увольнять этого бездельника по статье.

Ну почему сразу бездельник, он ведь честно будет прикручивать всё новые и новые костыли к сети, чтоб обойти ограничения наложенные сабжевым костылем на протоколы не терпящие махинаций с IP заголовками пакетов

Но ведь регулярные же проблемы. А конечному пользователю все равно, сколько там костылей, ему вообще технические детали не интересны.

чтоб обойти ограничения наложенные сабжевым костылем на протоколы

схема только для моего компа (нат на локалхосте), пользователи в этих подсетях обо мне, и о других подсетях не в курсе, и костыль их не затрагивает =)

Сам Себе Незаменимый Админ (почти CCNA)

Решил вот так:

iptables -t nat -A OUTPUT -d FAKE_IP -j DNAT --to-destination DEST_IP

ip ro add FAKE_IP via TUN_IP

Зачем только один ip если у тебя целые подсети пересекаются один-в-один?

Нат - косое решение.

NETMAP + dns-doctoring ( bind view ) если обращаемся по имени

Вы зря иронизируете. Вполне «бытовой» случай, куча заказчиков, сети у них одинаковые, доступ предоставляют через vpn. Варианты, или по отдельности каждый раз переподнимать тунели «заказчик1», «заказчик2», «заказчикN» что менее удобно. Или netmap и его вариации, что удобнее.

куча заказчиков, сети у них одинаковые, доступ предоставляют через vpn.

В точку. Поэтому, нужны только отдельно взятые адреса.