У меня дома сделана такая же штука. С настройкой у Вас всё верно - добавляем в адрес лист, далее создаем манг с маркировкой, далее роутинг добавляем (добавил картинку)
На CHR - для VPN соединений есть правило masqurade? Чтобы CHR знал что может быть шлюзом для VPN клиентов? Такое же правило как и для WAN. у меня (тк впн тупо личный) просто сделан Out. Interface - all ppp
