Implementar IPSec en una red Local con acceso a Internet.

Mi intencion es poner IPSec en una red Local. Dispongo de un
controlador de dominio, varias estaciones inalambricas y por cable y
como 'proxy-firewall' un ordenador con dos tarjetas de red haciendo
NAT. Todos ellos con Windows 2000 Server o profesional. La red local
se encuentra en 192.168.0.x, el router en 192.168.10.x y el
'proxy-firewall' en ambos.

Anteriormente el controlador de dominio realizaba NAT pero daba
problemas a la hora de autentificar usuarios con Kerberos.

¿ Existe algun problema en tener un DC realizando NAT ?

He instalado IPSec para proteger la informacion, encriptar las
contraseñas que corren por la red (por ejemplo correo electronico) e
impedir intrusiones, capturar datos-passwords (desde un programa
sniffer ...).

El problema es que si instalo IPSec con directiva de Servidor en el DC
y las estaciones como clientes IPSec, todas ellas no acceden a
internet.

¿ Como podria estructurar la red para conseguir este tipo de seguridad
(IPSec) y navegar por internet ?

Otra duda que tengo:

¿ Como puedo configurar un servidor que no es DC para convertirse
automaticamente en DC si este cae ? Tiene que ser un servidor miembro
o bien otro DC que replique al principal. Si es así, como debo
configurarlo.

Muchas Gracias