Добрый вечер всем!
Прошу Вас помочь!

В DMZ работает почтовый сервер (его глобальный IP - x.y.z.w).
На CISCO 2811 (IOS 12.4(13r)T), стоящей на внутренней границе DMZ, настроен статический NAT, с помощью которого пользователи в локальной сети a.b.c.0/22 видят почтовый сервер по адресу a.b.c.d.

NAT прописан так:
ip nat outside source static x.y.z.w a.b.c.d add-route

Настроил Cisco Easy VPN Server на этой же 2811, работает хорошо. VPN-клиентам раздаются ip из пула в локальной сети:
ip local pool vpnc_lan_pool a.b.c.e a.b.c.g

Но тем, кто подключается по VPN, не виден почтовый сервер a.b.c.d. VPN-Клиенты его только лишь пингуют, когда в NAT-правиле для почтовика не прописано "no-alias".

Прочел много форумов, понял: похоже, что обратный трафик от почтовика уходит не в туннель к VPN-клиенту, а посылается Cisco-й на её default gateway.

Помогите, пожалуйста, разрешить 2 вопроса:
1. Как сделать так, чтобы VPN-клиенты ходили на почтовый сервер в DMZ через VPN-туннель?
2. Грамотно ли так публиковать почтовик из DMZ в локальной сети?

Заранее спасибо.
a13x