Moin,

ich brauche einen VPN-Tunnel, bei dem einer der beiden Tunnelausgänge hinter einem NAT(Masquerading)-Router liegt.

Eigentlich ganz einfach?
Irgendwie wohl doch nicht, die gängigen Beschreibungen gehen alle davon aus, das man letzlich:

a)den VPN-Tunnelausgang in den NAT(Masquerading)-Router[2] verlegt oder

b)den Router[2] den openvpn-Port auf den Router[3] forwarden lässt, der den Tunnelausgang bereitstellt.

Das ist aber gemogelt! Mein Tunnelausgang muß hinter dem Masquerading-Rechner liegen, ohne auf dem irgendwas zu ändern.

+-------------+
|  Netz A     |
+-----+-------+
      |
      |  internes Netz A, 192.168.0.0/24
      |
+-----+-------+
|   Router 1  |
|  VPN-Tunnel |
|  'Eingang'  |
+-----+-------+
      |  dyndns (quasi-feste), öffentliche IP
      |
      |
      |  Internet
      |
      |
      |  feste, öffentlich IP
+-----+-------+
|#############|
|    NAT      |
|Masquerading | <=== kein Port-Forwarding möglich!
|#############|
|  Router 2   |
+-------------+
      |
      |  internes Netz X, 10.0.0.0/24
      |
+-----+-------+
|  VPN Tunnel |
|   Ausgang   |
|   Router 3  |
+-----+-------+
      |
      |  internes Netz B, 172.16.0.0/16
      |
+-----+-------+
| Netz B      |
+-------------+

Geht das überhaupt und wenn ja wie?

Das Problem zeigt sich in der openvpn Konfiguration übrigens einfach darin, dass man auf Router[3] einen Empfangs-Port angeben _muß_, was aber prinzipiell Unsinn ist, denn der kann ja definitiv nicht erreicht werden.

Es muß übrigens nicht openvpn sein, freie Software ist aber definitiv bevorzugt.

Gruß,
  Carsten