Решил вопрос:
На имеющемся сервере L2TP Mikrotik нужно вывести VPN-клиентов в отдельную подсеть. Для этого:
Создаем отдельный пул с нужным адресом для клиентов впн (я сделал 192.168.102.0/24)
Делаем l2tp профиль, указывая пул п.1 в качестве remote address, local address - шлюз (например 192.168.1.0 - сеть, 192.168.1.1 - шлюз), указываем в профиле днс сервера.
Делаем юзера, привязываем профиль впн.
подключаемся с клиента. Если ничего не менять, то по умолчанию шлюз для клиента стал офисный роутер, через который он будет ходить в инет (для этого нужно ещё прописать маскарадинг в нат на интерфейс впн). Если это устраивает, то ок, ничего не меняем. Если нужно ограничение по скорости клиента, то:
В винде в настройках подключения VPN в разделе сеть, ipv4 есть галка о назначении шлюза по умолчанию в удаленно сети. Снимаем её.
Прописываем маршрут до подсети офиса из нашей впн сети:
route -p add 192.168.88.0 mask 255.255.255.0 192.168.102.1 , флаг р для постоянного роута, иначе после ребута слетает.
реконнект
Режем скорость в queues
Средний
