Jo, teoreticky 2x NAT 1 by neměl ničemu vadit (pokud pomíjím komplikaci, že by dva takoví klienti v mé síti chtěli spolu komuikovat), ale v reálu mi to nevychází. Ty jebnuté NATy evidentně občas šáhnout i do něčeho jiného. U IPsecu to záleží i na režimu, IPsec tunelu to nevadí, IPsec transport je náchylnější. Taktéž záleží, zda jen šifruji nebo i podepisuji atd.
Co se týče těch možných koncových klientú za jedním NATem, tak je to otázka protokolová (a brzo i legislativní). Za jednu IP může klidně NATovat půl miliónu lidí. Ten limit pro UDP a TCP aktuálně je, že projde max 65535 spojení mířících na stejný cílový IP do Internetu, pokud se komunikuje na různé IP nebo porty, tak je to jen dáno množstvím RAM, výkonem CPU... Ale pro jiné protokoly to neplatí. Pokud pro daný protokol neexistuje do NATu specializovaný helper (jako např pro PPTP), tak jde skrz NAT vést jen jedno spojení na jednu cílovou adresu.
Jinak hlasuji tkaé pro /32 routu (pokud nedávám PPPoE).
A pokud vezmu v potaz blížící se EU antikyberntické zločinecké zákony, tak představa je jeden zákazník-jedna IP (nemáteli dostatet IPv4 adres, budete dávat novým lidem IPv6 only konektivitu), jinak podporuji kyberterorismus, jsme špatnej a v lepším případě pár tisíc EUR/denně flastr nebo příkaz na uplinka odpojit síť. Mimochodem, zákon, dle kterého úřada od stolu bez soudu rozhodne o odpojení vaší sítě bude s trchou štestí platit v ČR už letos, když získá pocit, že se podílí vaše síť/váš zákazník na nějakém aktu ohrožující naší skvělou společnost (no, furt lepší jak tálínský pakt, dle kterého se NATO ujišťuje, že je naprosto OK rovnou Vám poslat domů raketu za nějakej povedenej DDoS z vašeho hacknutého počítače, pokud bude mít pocit, že s ena tom úroku sami aktivně spolupodílite :-) ).
