Как прокинуть внешний iP внутрь сети? Маршрутизация + NAT

[SalaVila]

Всем привет.
Есть следующая задача - нужно настроить роутер (4011) для филиала. Для чего хочу смоделировать ситуацию и проверить работоспособность VPN GRE+iPSec перед отправкой в другой город.
В первом офисе имею 4011 и 750gR3, подсеть от провайдера /29 . Имею данные(настройки)для филиала от провайдера в другом городе.
До чего я "додумался" -
Втыкаю роутер филиала WANом в свою локалку , настраиваю на его VAN статикой будущий IP, прописываю DG, в соответствии с присланными настройками.
На основном 4011 статическим маршрутом временно закидываю внешнюю подсеть филиала за внешний ip второго моего роутера 750Gr3.
На бридже 750Gr3 дополнительно к внутреннему ip прописываю полученный от провайдера филиала адрес внешнего шлюза.
В Фиреволе 750Gr3 добавляю разрешающее форвард правила от внешнего ip 4011 офиса до внешней посети провайдера филиала и обратно
Там же в правилах НАТ маскарад указываю сорс адрес только внутреннюю подсеть первого офиса.

В результате пинги от первого роутера к филиальному и обратно ходят с правильным исходящим адресом, но gre не поднимается , и даже pptp не поднимается, хотя попытки и подключения есть (видны в логах)

Вопрос следующий, возможно ли прозрачно забросить внешнюю подсетку за нат в принципе.? Какие настройки нужно сделать что бы в такой конструкции поднимался gre туннель?

[SalaVila]

Ну в общем GRE поднялся по непонятным мне причинам, но скорость не дотягивает и до 100 мегабит, хотя BT выдаёт и 500 и 600, пришлось на время работ один из портов филиального 4011 выделить в отдельный бридж, и воткнуть в сеть офиса.
Так же для меня осталось непонятно следующее, в правиле нат маскарад промежуточного роутера я Src Address указал ip подсеть офиса, таким образом по моему мнению оно не должно действовать на запросы с ip филиала , тем не менее интернет за филиальным роутером работает от внешнего ip промежуточного роутера.