Вопрос, может дурацкий.
Пока без конфигов. Т.к. может сразу скажете, что нельзя.
Есть сеть с пирами.

Есть центр. Есть пиры. Пиры с центром связан туннельным интерфейсом. У туннельных интерфейсов своя адресация.
Роутинг настроен статический. У пира роутинг до центра через туннельный интерфейс. У цента роутинг до сети за пиром через туннельный интерфейс.
Пиры друг друга не "видят" и не должны. Т.е. это как бы dmvpn, но не dmvpn.
Но есть один пир, назовем его "суперпир", который должен видеть все остальные пиры через центр. Причем на пирах настройки менять нельзя.
Блин, наверное, запутал..
Если пропишу роутинг на этом суперпире до сетей за пирами, через туннельный интерфейс, ничего работать не будет. Наверное, это очевидно.
Может быть как-то можно крипто-мэпами сделать?
Спасибо заранее.

P.S. Сразу извините за столь, возможно, непонятное изложение. Сама достаточно задача запутанная.

P.P.S.
Напишу адресацию на всякий случай.

Сеть за пиром (192.168.12.0/24) - тунн. инт-с на пире tun0 (10.0.12.2/30) - тунн. инт. в центре tun12 (10.0.12.1/30) - сеть центра (172.16.2.0/24).
В центре прописано
ip route 192.168.12.0 255.255.255.0 tun0
на пире соответственно
ip route 172.16.2.0 255.255.255.0 tun0
И так много пиров с похожими настройками. Суперпир один их них.

Давай рассудим логически: если суперпир должен видеть всех, то ответы из всех пиров должны приходить на суперпир.

Отсюда мораль: на суперпире прописываем всех, на всех - только суперпира (по марщшрутизации)

Если же дополнительно стоит задача, чтобы инициировать сессии можно было только со стороны суперпира, то добавляем простейший CBAC (или ZBF, есл и не лень)

А если натить на центре сетку суперпира в сетки пиров?
Или это бред?

Получается, что центр всей этой штуки будет суперпир. А так не надо.

Нет, суперпир не будет центром.

Просто мы будем через туннель от суперпира трафик не только в центр слать, но и на удаленные пиры.

НАТить можно. Но имхо геморрой больший, чем фильтрами и маршрутизацией обойтись

Блин, не понимаю.
У обычного пира туннель с кем будет? Так и останется с центром, а маршрутизацию прописать до сети за суперпиром через этот туннельный интерфейс?
Может схемку набросать?

Именно так, у обычного пира туннель с центром останется, но при этом на пире необходимо прописать роут в туннель на LAN-сеть за суперпиром (и межроутовую подсеть между суперпиром и центром). На суперпире же необходимо прописать либо дефолт в центр, либо описать все роуты до обычных пиров также в центр.

Простите, межроутовая подсеть между суперпиром и центром - это что? Сеть, используемая туннелем?

Кирилл, я думаю тебе будет полезно понять вот что:
Шифрованный пакет приходит на центр, расшифровывается, потом его адрес назначения проверяется по таблице маррутизации и при необходимости, снова шифруется.

Твоя задача обеспечить, чтобы незашифрованный пакет пробежал по маршрутизации. ДЛя этого надо указать в роуте
На суперпире описать все сети всех пиров или сумму в туннель.
ip route {PEER} tun 0

НА всех пирах
ip route {SUPERPEER} tun 0

Спасибо коллеги.
Буду пробовать.

Картинку нарисуй лучше

Работает. Сделал правда чуть иначе. Через NAT. Сетку суперпира "натю" в центре.
Всем спасибо. Серег, тебе отдельное спасибо, т.к. фраза

реально разложила мою кашу в голове по полочкам.
Еще раз спасибо.

URWelkom

А иначе зачем мы здесь ?