Ziptar

Исходя из заголовка вам надо src-nat'ить, а не dst-nat'ить, только всё равно не очень ясно зачем.
Чтобы достучаться из интернета до узла за вашим nat - вам надо dst-nat'ить с внешнего адреса на внутренний, а не наоборот.

>как это работает
Согласно модели OSI это работает. USB модем - обычно L2 (NDIS-адаптер) (хотя фактическая коммуникация по L3 - IP, NAT, все дела). Proxy - как правило подразумевается L7, хотя есть варианты L4

>можно ли как нибудь сделать так, что бы при использовании прокси компьютер думаю что это USB-модем, и работал без всяких прокси-настроек?
Нет, нельзя. Прокси не оперирует протоколами (в основном это IP), характерными для L3. А на L3 нет никакого представления о том, для чего его используют L4-7. VPN же, как раз таки, предназначен для работы на L3.
Можно лишь соорудить прокладку между целевым прокси и взаимодействием с операционной системой, реализующую L2-L3 взаимодействие (те же самые NDIS адаптеры передают привет - это и есть такая прокладка, по большому счёту, только в тех же USB 3g/lte модемах она используется несколько по-другому - в сторону L1 и L2 в сотовых сетях, а не в сторону L7) - но смысла в этом... только в определённых коммерческих целях, разве что. Не для персонального использования точно - мороки и человеко-часов много, толку мало.

Послушай, уважаемый, ты не тем занимаешься. Во-первых, интернет, на усреднённом роутере на базе лини, мало связан с доступом к роутеру и доступом роутера куда-либо. Цепочка forward не пересекается с цепочками input и output. Кроме того, само оперирование понятиями "входящие" и "исходящие" требует осознания того, к чему ты эти понятия применяешь - к пакетам, или к соединениям, потому что это разные вещи, и на разных роутерах эти разные вещи могут называться одинаково.
Что касается "можно ли заменить" - да, принципиально можно. Да, на большинстве роутеров можно. Нет, не на всех роутерах это можно сделать предусмотренным производителем путём. И интернет тут, как правило, вообще ни при чём. Но самое главное - это не нужно. Безопасности это не добавляет.

>два адаптера на одном физическом сервере Windows!
Вариант номер раз: включить шаринг vpn интерфеса через его параметры
Вариант номер два: установить роль маршрутизации и удалённого доступа
Вариант номер три: включить ип форвардинг в реестре
Нормальный вариант: не использовать win в качестве роутера

Краем уха слышал, что год назад была проблема, заключающаяся в том, что после обновления в винде отваливался netbios. И, соответственно, могло отваливаться сетевое обнаружение. Есть подозрение, что копать туда.

Исходя из конфига, на который дана ссылка в комментариях к посту, могу сказать следующее:
Переделывайте правила mangle. Они у нас просто напросто не работают. Вы пытаетесь ловить транзитный трафик на input цепочке - это бессмысленно. dst-nat трафик, если он не заворачивается на локальный айпишник микрота, в input цепочку не попадает. Это транзитный трафик, он у вас должен уйти на forward цепочку. При этом ловить вы его можете на форварде, но когда он уже пойдёт в обратную сторону, поскольку маршрут определяется сразу после prerouting цепочки, до попадания в forward или input. Ознакомьтесь с packet flow диаграмами, включая routing diagram и packet flow chains.
В итоге, по всей вероятности, микрот ответы от сервера попросту маршрутизирует не туда, куда вы ожидаете, согласно main routing table.

1. Не употреблять слово "мост" в данном контексте.
2. Разобраться с маршрутизацией на малине.

Если речь идёт о роутере с RouterOS на борту, то не оперирует она такими понятиями, как транк или аксес порты. Если у вас на порте есть несколько вланов - он транковый, если один - аксес. Причём настроить всё это можно аж тремя разными способами.

Можно отлавливать скриптом поднятие l2tp подключения и прописывать статику в настройки днс. Но я не уверен, что статически прописанные серверы имеют для микротика приоритет над динамическими.
В таком случае можно скриптом отлавливать поднятие l2tp подключения и включать правило для ридиректа запросов на 53/UDP на 8.8.8.8 например.

:if ([:len [/ppp active find name="имя l2tp подключения"]] > 0) do={
/ip firewall nat enable [find comment~"Часть коммента правила с редиректом"]
} else {
/ip firewall nat disable [find comment~"Часть коммента правила с редиректом"]
}
Ну и само правило на редирект создать с соответсвующем комментом, а скрипт запускать каждые 10 сек., предположим.
Как-то так, но это не точно.

Нормально разбивать на подсети, больше никак.

Принтеры подключены по USB к рабочим станциям, и вы хотите доступ к этим принтерам при выключенных рабочих станциях? Это как?

Я грешным делом решил, что моё решение в принт-серверах(usb-ethernet), однако оказалось, что они канули в лету.

Запрос в гугл показывает кучу предложений от 20 евро за штуку

Эти машины просто напросто не находят DHCP сервер при очередной попытке обновления адреса.

Пытайтесь понять почему так происходит, сколько по времени ждут ответа DHCP-сервера клиентские машины, где трафик может идти не туда, etc.

Роутер 2 - просто мост?

Ну вообще говоря там есть fail2ban, пользуйтесь им для таких целей. Вручную банить всех, кто пытается подобрать пароль к админке - с ума сойдёте.

1. На виндовом сервере отключить у pptp-клиента использование в качестве шлюза по-умолчанию
2. На виндовом сервере в качестве шлюза по-умолчанию использовать его собственный выход в интернет
3. На виндовом сервере для подсети или подсетей к которым принадлежат pptp-клиенты прописать статический маршрут через pptp-сервер.

error: bind to port 2220 on some.ip.adress failed : Caanot assign requested adress

Само собой. ОС ничего не знает о Вашем внешнем IP, который присвоен wan-интерфейсу роутера.
В sshd_conf нужно оставить прослушивание только на локальном адресе, а на роутере пробросить входящие со стороны провайдера соединения по соответствующему порту на этот самый адрес.

Напрямую - никак.
И Layer7 тут не помощник, т.к. DNS-запрос посылается только при первом обращении к ресурсу, всё остальное время (пока жив днс-кэш) софт работает с ip.

Можно лишь попытаться составить список доменных имён, обновлять периодически их ip-адреса на маршрутизаторе, составляя списки, и уже с этими списками работать. Для клиентов в локальной сети перехватывать через L7 запросы к DNS, и подменять на те адреса, что есть у роутера. Хотя стоит учитывать, что в случае использования клиентами DNSCrypt - перехватить не получится.
На микротиках реализуемо, хотя и нетривиально.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 10.8.0.2:8080
iptables -A FORWARD -t eth0 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -s 10.8.0.2 -p tcp --sport 8080 -j ACCEPT

Должно работать, если ничего не напутал. С iptables общаюсь не то что бы часто.
А вообще: https://www.opennet.ru/docs/RUS/iptables/

P.S. форвардинг должен быть включён на обоих интерфейсах - то есть eth0 и tun/tap