Вот не поленился даже схемку нарисовать для наглядности - вдруг умные господа офигеют от такой наглости и действительно помогут... 
Имеется:
- Комнатная сеть;
- Большая сеть с собственным выходом в интернет;
- VPN-клиенты из публичной локальной сети, по PPTP;
- Сервер на котором всё это сводится (2 NIC + ADSL модем + Dial-Up модем).
Надо:
- Большую сеть отсекаем фаерволом, через который впускаем VPN-клиентов по авторизации (желательно пакеты хостов, не входящих в списки IP и MAC vpn-клиентов, вообще дропить с этого порта, не пуская к авторизации).
- VPN-клиенты авторизуются на сервере локальными юзерами (логично, домена-то нет) и имеют доступ к своим шАрам на серверном диске, к workspace'у SharePoint Services и нескольким другим службам. Также VPN-клиенты имеют доступ в инет через NAT с биллингом через ADSL-модем (PPPoE), установленный на сервере (желателен transparent http proxy с кешем и баннерорезкой). В комнатную сеть или обратно в большую сеть vpn-клиенты естественно доступа не имеют.
- Комнатная сеть и сам сервер имеют доступ к большой сети (http, ftp, несколько других служб) через NAT и к ADSL-инету через NAT (последнее можно и без биллинга)
- Должна быть возможность автоматического дозвона по Dial-Up при отсутствии ADSL, но в строго указанные часы. Вне указанных часов, при отсутствии коннекта через ADSL или по желанию, доступ к инету организуется через большую сеть (не для VPN-клиентов). Эти два условия должны быть по возможности организованы так, чтобы не требовалось присутствие администраторов и перенастройка каждый раз статических маршрутов. То есть, чтобы была приоритезация дефолтных шлюзов интерфейсов в определённом порядке и перехода от одного к другому в случае недоступности маршрута.
Всё вышеперечисленное желательно организовать посредством RRAS и Traffic Inspector (иначе бы не тут спрашивал) 
На сервере стоит 2003 STD.
P.S. Детально интересует пункт номер 4. Остальное можно в общих чертах.
