Артем

Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.

Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
/ip firewall filter
add chain=forward src-address=локальная подсеть
add chain=input protocol=tcp dst-port=22,1723
add chain=input protocol=gre
add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
add chain=input action=drop
add chain=forward action=drop

1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
3. Для PPTP еще нужен протокол GRE
4. Доступ по RDP к терминальному серверу, или что там у вас.
5. Все остальные входящие отбрасываем
6. Все остальные маршрутизируемые (через NAT, например) тоже.

/ip firewall filter
add chain=forward src-address=10.10.10.10 dst-address=11.11.11.11 action=passthrough comment="upload to 11.11.11.11"
add chain=forward src-address=11.11.11.11 dst-address=10.10.10.10 action=passthrough comment="download from 11.11.11.11"

action=passthrough ничего не будет делать с пакетом. Просто его посчитает. Увидите и кол-во пакетов, и кол-во трафика.
Поднимите правила повыше и смотрите трафик на здоровье.

Если с настройкой самого L2TP всё решили, то вам нужно прописать маршрут до необходимых ресурсов через этот туннель. Мелкомягкие, как известно, следуют заветам Ленина и "Идут своим путём", поэтому настройка маршрутов на винде - дело нетривиальное. В зависимости от версии настройки могут отличаться, но общий смысл уловите. Пишу на примере вин10, что есть под рукой.
Центр управления сетями и общим доступом - изменить параметры адаптера - ваше л2тп правой кнопкой - свойства - вкладка "сеть" - IP версии 4 - свойства. Далее кнопка "Доп. параметры" или как-то так (у меня винда английская, просто Advanced) - и убираем галочку "Use default gateway". Станет активна вторая галочка: не добавлять маршрут на основе классов. Её ставим и переподключаемся.
Надеюсь, микротику в PPP профиле задан статический ip, предположим, 10.0.0.1.
Тогда в винде вам нужно прописать маршрут, предварительно узнав номер интерфейса л2тп. Это делается командой route print и в самом начале вывода увидите интерфейсы с их автоматически присвоенными номерами в начале строки. Найдите номер л2тп подключения, он нужен, у меня он был 26.
После чего добавьте маршруты к нужным ресурсам следующим образом:
route -p add 1.2.3.4 10.0.0.1 IF 26
Без указания интерфейса маршруты не работают, по-крайней мере, у меня не получилось их заставить работать иначе. И ещё: точно работает с конкретными ip-адресами, но за подсеть говорить не буду, по-моему, были какие-то сложности. Если нужен бродкастовый домен - используйте OpenVPN. Просто и секьюрно. Единственный недостаток - нужно устанавливать стороннее ПО.

В Q3 2016 выйдет WS2016 с его фичей Storage Spaces Direct -- аналог VMware VSAN. Требования: не менее 4 хостов, 10Гбит сеть и редакция Datacenter.
Уже сейчас на WS2012R2 можно сделать SOFS, как писалось выше.

как избежать выхода из строя SAS JBOD'а,

JBOD'ы можно каскадировать. Два JBOD'а и mirror pool позволят избежать полного отказа одной полки. Отдавать хранилище хостам Hyper-V будете по SMB3.0, а если бюджет позволяет еще и RDMA сетевушки прикупить, тогда вообще проблем знать не будете.
Если будете строить какой-нибудь из Storage Spaces основательно и надолго, внимательно почитайте блог команды Storage Spaces на Technet'е, особенно их рекомендации касательно количества SSD на полку.
Также настоятельно рекомендую к прочтению
"руководство" по созданию SOFS: www.aidanfinn.com/?p=13176
планирование SDS на базе WS2016: www.aidanfinn.com/?p=18608
да и в целом неплохо было бы почитать весь этот блог -- этот мужик имеет MVP и пишет в основном про Hyper-V и хранилище под него.

Также никогда не стоит сбрасывать со счетов брендовые СХД от каких-нибудь HP или Dell. Стоить они будут сильно дороже за ту же производительность, но в случае проблем бить по голове будут не вас, а поддержку вендора.
P. S. Если все-таки решите смотреть в сторону Storage Spaces, рекомендую ознакомиться: www.supermicro.com/products/nfo/CiB.cfm
а также погуглить решения Cluster-in-a-Box от других вендоров. Это будет наиболее простым способом развернуть SOFS: обе ноды и дисковая полка в одном корпусе с заранее продуманными интерконнектами. Включи, настрой, используй. Расшириться в случае необходимости можно каскадированием JBOD'ов той же Supermicro, которые сейчас уже совершенно аномальной плотности существуют: до 90 3.5 дисков в 4 юнитах.

1 gbe вполне подходит для создания кластера Hyper-V, но для хорошей работы он должен быть не один. Сверяйтесь с best practices по планированию сети хостов Hyper-V (гуглите Hyper-V capacity planning и ищите документы Microsoft). iSCSI для вашей цели подходит, но начиная с WS2012r2 появилась возможность строить кластер Hyper-V поверх SMB 3.0 хранилища (то есть обычной сетевой шары) -- и лучше использовать этот вариант, если у вас нет требований конкретно к использованию iSCSI, так как иногда SMB показывает значительно большую производительность (в моей среде -- в два раза). Обе технологии поддерживают Multipath, обе будут хорошо себя чувствовать на 1 gbe линках.
Более подробно, увы, подсказать не смогу -- с Hetzner не работал и специфики их окружения не знаю.

https://zyxel.ru/kb/2911 раз
www.freeproxy.ru/ru/vpn/mac-os-x/l2tp.htm - два

Установите правильные значения MTU (скорее всего они сейчас установлены выше реальных) на линке с провайдером и на интерфейсе в локальную сеть + проверьте, не режутся ли пакеты ICMP fragmentation needed.

Не очень понятно о чём речь, если речь о различия туннельного и транспортного режима, то они не особо отличаются по способу шифрования или по безопасности, но разительно отличаются по удобству построения сети и по надёжности в разных условиях.

1. Попробуйте пинг на этот ip, посмотрите открыты ли на сервере порты (1194)
2. если Вы настраивали по той инструкции то пользователь и пароль не нужны. возможно будет нужен только пароль от приватного ключа
3. route 0.0.0.0 0.0.0.0 в конфиге клиента добавит маршрут по умолчанию через vpn и весь трафик пойдет через vpn

можете еще посмотреть на эту статью, очень неплохая https://www.digitalocean.com/community/tutorials/h...