подробно схема выглядит так:

с3640--213.x.x.x/29 vlan 77--c2620(PPTP)
|                          |
RADIUS     vlan909(внут/адрдля впн)
   10.11.0.0/29

в случае удачной авторизации радиус возвращает IP-адресса из сети 172.16.0.0/25
Т.е. необходимо транслировать именно 172 в #213.x.x.x#
делаю так:
---------------
#
interface FastEthernet0/0.77
description Link-To-Cisco3640
encapsulation dot1Q 77
ip address 213.x.x.x 255.255.255.248
no ip mroute-cache
!
#
interface FastEthernet0/0.909
description Link-To-Clients
encapsulation dot1Q 909
ip address 10.11.0.1 255.255.255.192
!
#
interface Virtual-Template1
ip unnumbered FastEthernet0/0.77
ip nat inside
no keepalive
peer default ip address pool ross
traffic-shape group 145 60000 7949 7939 1000
ppp authentication chap ms-chap
!
#
ip nat pool etita 213.247.171.235 213.247.171.235 netmask 255.255.255.0
ip nat inside source list 5 pool etita overload
#
access-list 5 permit 172.16.0.5
#

тоесть в случае явного указания ip nat inside на интерфейсе fa0/0.909
а на интерфейсе fa0/0.77 ip nat outside то все работает,
поскольку fa0/0.77 связующий с верхней циской, когда на нем указыю ip nat out side  то циска сама радиус не видет,
хочу попробывать передать сеть с внешними адресами и свзязующий влан отдельно, тоесть от верхнего роутера прокинуть еще один влан///