dunque, ora mi sembra che funzioni.
l'ambiente è fatto così:
sede principale: w2k8 std, dc, connesso a internet tramite router, quindi il server non'è pubblicato, la sua lan ha un ip privato. poi ho tirato su il ras,con funzionalità di routing ipv4 e policy interna al ras x far accettare le connesioni in ingresso da parte degli i utenti di dominio remoti. no server dhcp, il rras distribuisce ai pc remoti ip da un range stretto configurato all'interno del rras stesso, nella stessa classe dell'ip del server.
sedi distaccate (2): pc client di dominio con winxp, con configurato una connessione vpn tramite la funzionalità di windows stesso che punta all'ip statico del router della sede principale. script x lanciare questa vpn all'avvio della macchina, prima che l'utente si logghi sul dominio.
il rras assegna un ip al server in una presumo scheda virtuale wan e lo stesso avviene sui client; questi indirizzi sono pescati dal range stretto di cui sopra.
nelle proprietà della connessione remota-vpn sui pcclient ho disabilitato l'uso del gateway remoto, cioè l'ip della lan del router nella sede principale, così i client usano come gateway l'ip del router cui loro sono fisicamente connessi. in caso contrario, la vpn andava su, ma non funzionava l'autenticazione degli utenti sul dominio all'atto del log-on.
infine gli ipdei client assegnati sulle loro schede di rete sono in un range diverso da quello del server altrimenti non avevo comunicazione, neanche a livello ping, tra sede principale e remota.
il problema adesso è che da uno dei client non ho comunicazione bidirezionale tra lui e il server; cioè dal client al server bene, mentre nella direzione opposta no, dal server non raggiungo il disco c del client, pur potendolo pingare.
ma a livello di impostazione logica, poco mi è chiaro di questa configurazione.