[kim-aa]

Цитата VladDV:

[Клиент филлиала (отправка для ip-локальной сети офиса)] -> VPN -> {Внутренний ip}[Шлюз]{внешний ip} -> {внешний ip}[ISA офиса]{карта для сервера VPN} -> {внутренний ip VPN-сервера} -> [тут пакет расшифровался и у него адрес назначения - локальная сеть офиса] -> *** путь только на ISA, но физический адрес сервера VPN тоже из подсети офиса, »

Кто сказал?
На рисунке 1 изображено, что VPN концентратор находится в отдельном сегменте 3-го уровня (сети).
Хотя это и не важно.

Даже если, VPN-концентратор находится в общей сети, то все равно будет работать.

На ISA просто прописывается простое правило маршрутизации
route add <внутренняя сеть филиала> <интерфейс VPN-концентратора>

На VPN-концентраторе офиса прописывается
route add <внутренняя сеть филиала> <виртуальный интерфейс>

На VPN-шлюзе филиала прописывается
route add <внутренняя сеть офиса> <виртуальный интерфейс>