Дмитрий

Что значит "без дополнительных функций"? Вам нужно маршрутизирующее устройство, а любой маршрутизатор нуждается в хотя бы в минимальной настройке (даже если оставить в стороне требования по надежности и безопасности).
Вот малогабаритный двухпортовый микротик - https://mikrotik.com/product/RBmAP2nD
Если это не подходит, то тут можно подобрать любой роутер по вкусу, хотя бы бытовой, если он позволяет пропускать трафик между wan и lan портами в обе стороны, с отключаемыми NAT и межсетевым экраном.
Исходя из контекста вопроса, большой производительности от устройства не требуется?

На самом деле icmp-ответ, в котором будет "серый" ip-адрес, может прилететь от любого промежуточного узла при трассировке, а не только от ближайшего роутера или из сети своего провайдера. Это связано с тем, что ip-адрес в icmp-ответе, который будет отображен в трассировке, и фактический адрес источника в ip-пакете, с которым он был отправлен с транзитного узла, - это разные сущности. Кроме того, фактический ip-адрес источника может на транзитном маршрутизаторе превратиться из "серого" в "реальный", чтобы иметь возможность быть гарантированно доставленным в интернете. Самый частый случай, приводящий к такому - какой-либо промежуточный маршрутизатор в сети провайдера может обрабатывать транзитный трафик с реальными ip-адресами, имея при лишь служебный серый ip-адрес. Протоколы маршрутизации вполне такое допускают. Так что это в принципе не проблема, хотя некоторых смущает.
P.S. В моей практике была обратная ситуация. Безопасники докопались до ситуации, когда при трассировке внутри интрасети большой организации один из промежуточных узлов отображал реальный ip-адрес, пусть даже этой организации и принадлежащий. Они требовали объяснить, почему трафик ходит через интернет :)

Сколько всего устройств в сети, с учетом WiFi-клиентов? У провайдеров может быть ограничение на количество mac-адресов, одновременно допустимых в L2 VPN. Поэтому всегда лучше на концах таких каналов держать какие-то свои маршрутизаторы, которые будут инкапсулировать передаваемый трафик. Хорошо бы уточнить у провайдера у провайдера этот момент.
Если есть техническая возможность, попробуйте точки CAP использовать в этом качестве (завернув трафик локалки например в EoIP), хотя бы для теста, у них два проводных интерфейса, насколько я помню. Кстати CAPSMAN в зависимости от настроек тоже может инкапсулировать трафик WiFi-клиентов.

Обычно для такого требуется прописывать два правила (по крайней мере, при настройках, сгенерированных через Quick Set). Одно вы сделали (собственно проброс порта в IP -> Firewall -> NAT). Второе правило нужно прописать в IP -> Firewall -> Filter, в цепочке forward, оно должно разрешать трафик с внешнего интерфейса до внутреннего ip-адреса сервера по нужному порту, и стоять выше, чем созданное по умолчанию правило, запрещающее трафик с внешнего интерфейса на внутренние интрерфейсы или ip-адреса.