Должен ли я когда-либо настраивать хост с общедоступным IP-адресом для приема трафика с частного IP-адреса?

Я подключаю сеть с помощью общедоступного статического IP-адреса (IP-адрес моего маршрутизатора для NAT) и подсети / 29 (для машин за маршрутизатором).

На моем роутере у меня есть:

#sh ip route | inc x.x
     x.x.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       x.x.196.62/32 is directly connected, Dialer1
C       x.x.206.72/29 is directly connected, BVI2


#sh run int dial 1 | inc zone
 zone-member security out-zone
#sh run int bvi 2 | inc zone
 zone-member security in-zone

Зона-пара довольно ограничена. Я хотел бы ослабить ограничения для клиентов, которые сначала подключаются через VPN с удаленным доступом:

#sh run int virtual-template 1
 zone-member security relaxed-zone

Теперь клиентам, подключающимся через VPN, должен быть назначен частный IP-адрес. (Я не назначаю публичные адреса клиентам, правда?):

# sh ip local pool

 Pool                     Begin           End             Free  In use   Blocked
 RANET100                 192.168.100.230 192.168.100.250   20       1       0

Итак, теперь, если я хочу получить пакет на x.y.206.73 из 192.168.100.230, это нормально - у маршрутизатора есть необходимая информация. Но это означает, что хост x.y.206.73 должен будет разрешить трафик на свой IP-адрес в публичной области с частного адреса ... что-то, что он обычно будет игнорировать!

Так что это грязный прием, правда? Что такое Истинный Путь (ТМ)? Должен ли я просто разместить несколько хостов с общедоступными IP-адресами, чтобы у них также был частный IP-адрес?