Como un problema «sencillo» puede convertirse en una «pesadilla» dependiendo del proveedor con el que te toque lidiar. Es curioso, cuando trabajaba en un proveedor nos teniamos que devanar los sesos para que nuestros clientes estuvieran contentos y no tuvieran que «tocar demasiado», ya lo haciamos nosotros por ellos.
hora que estoy en el otro lado (en el cliente), resulta que mi(s) proveedor(es) pasan de mi y me toca volver a devanarme los sesos para que mi(s) cliente(s) no tengan que tocar… Xd. Cosas de la vida, hagas lo que hagas, siempre estas jodido.
A lo que vamos. seguimos cambiando direccionamiento, ahora le toca a un cisco vpn 3002 de un cliente, le llamas, le cuentas la pelicula y el tio dice que lo siente mucho, que la red que le toca ya la tiene asignada y que nos busquemos la vida, que el no toca nada. Vale, tu no te preocupes que yo te lo «trampeo», para hacerlo tengo 3 opciones (que se me ocurren a mi), las 2 de ellas me parecen un poco «cerdas!» y la que creo que es mas «limpia» me deja un poco vendido asi que…
Opción 1:
Le pongo un ip publica a la pata publica del router, convenzo a mi proveedor para que me de una nueva ip. Conecto la pata privada del router a mi DMZ y filtro en el firewall lo que va hacia dentro. 
Para mi es lo mas limpio, pero dejo el router (que no es mio) vendido a su suerte (y a la configuración de access lists del cliente), lo cual no me mola nada, porque, como se lo peten me va a echar la mierda a mi.
Opción 2:
Pincho la pata externa del router en mi dmz, hago NAT de entrada salida hacia internet y que el tio (el cliente) rute lo que tenga que rutar en el 3002 hacia mi firewall, que ya le permito yo lo que necesite. 
Esto es un poco cerdo, lo se, que el trafico entre y salga por la misma tarjeta no me gusta nada, pero bueno, podriamos utilizar la segunda tarjeta del 3002 para administracion y asi tengo controlados los accesos desde internet.
Opción 3:
Pincho la tarjeta externa del router a mi DMZ, haciendo NAT desde/hacia internet para tener control. Creo una nueva DMZ y pincho la tarjeta interna del router para que el 3002 funcione sin que el tio que lo lleva tenga que tocar nada. Asi no hay que «molestar» a nadie, ni al cliente, ni al proveedor de internet. Eso si, pierdo una tarjeta del firewall para dar servicio a 1 solo router…
A ver si alguien adivina cual de las 3 me tocará configurar…
Por cierto, a alguien se le ocurre otra forma de hacerlo??.