none7

Предложу немного хардкорное решение. На каждом компе установить Wireguard, на роутере пробросить порты к wireguard каждого компа. В отличии от обычных VPN, wireguard может одну сеть подключать к нескольким точкам и является p2p-протоколом(кто "белый" адрес знает, тот и клиент и никакого dhcp). Но хоть он и относительно прост, но работу с ним придётся изучать.
В результате можно будет шарится по директориям компов встроенными средствами винды, почти как в локалке. Подключатся по RDP и т.д. И не придется ничего делать с кривым роутером ведь для него это просто UDP.
Минус в том, что широковещательный трафик не проходит и нельзя будет увидеть компы через обозреватель компьютеров винды. И больше телодвижений, чем если бы роутер умел быть vpn-роутером. Пример конфига на вашем компе

[Interface]
PrivateKey = IPqn1...секрет-0...acmc=
ListenPort = 4049
Address = 10.17.4.1/24

[Peer]
PublicKey = публичный ключ первого компа
AllowedIPs = 10.17.4.0/24 # правило брандмауэра, обязательно
Endpoint = myhost.ddns.example.net:4050 #public ip

[Peer]
PublicKey = публичный ключ второго компа
AllowedIPs = 10.17.4.0/24 # правило брандмауэра, обязательно
Endpoint = myhost.ddns.example.net:4051 #public ip

Пример конфига одного из компов

[Interface]
PrivateKey = IPqn1...секрет-1...acmc=
ListenPort = 4050
Address = 10.17.4.2/24

[Peer]
PublicKey = публичный ключ вашего компа
AllowedIPs = 10.17.4.0/24 # правило брандмауэра, обязательно
#Endpoint = необязателен

У виндового моста есть проблемы с DHCP. Насколько я понимаю по крайней мере хост выступающий в роли моста должен настроить сеть статически. На роутере раздающем адреса соответственно нужно зарезервировать ip-адрес моста, чтобы не выдать его кому либо ещё.

Вангую: из за того, что у Вас pasv_min_port > pasv_max_port он выбирает любые порты кроме 20200-20400.

Это слишком разные уровни, чтобы говорить точно. Оптоволоконный кабель это не труба, которая при пережатии уменьшает скорость потока. При изгибах часть лазерного излучения теряется. В следствии чего сигнал становиться слишком слабым для работы на частоте сети. Только в отличии от радиосетей или xDSL, xPON не умеет динамически менять частоту. Работа с недостаточной мощностью сигнала приводит к ошибкам при приёме данных, что на уровне TCP/IP приводит к утери пакетов,(или к ошибкам передачи). Если Вы попробуете пинговать скажем ya.ru используя размер пакета 1400, то заметите неприемлемый уровень потерь. Но вот если бы до Вас шёл световой поток с хоть каким то запасом, то ошибок передачи не было бы. В частности оборудование провайдера сигнал с вашего лазера видит без ошибок. В любом случае этот кабель не Ваш и это проблема провайдера.

Если бы он стёр DNS-запись, то Вы бы не получали вообще ничего, кроме сообщения от браузера о не работающей сети. Ваш же провайдер настроил NAT, на блокируемые адреса и весь трафик идущий на ip vk обрабатывается сервером провайдера, в том числе и пинг. Задержка в 1 миллисекунду это отлично показывает, так как такое бывает лишь в пределах города, а CDN у vk нет.

Чтобы натравить готовый эксплоит на сайт знать вообще ничего не нужно. А при поиске уязвимостей не имея исходника и даже бинарника, нужно как можно больше знаний обо всех смежных областях. Так как дыры обычно случаются, когда программисты и админы используют инструмент, технологию, язык не до конца понимая как оно всё работает. SQL-инъекции самый отличный пример, того. Впрочем дыр в софте нынче всё меньше, сейчас модно искать дыры в мозгах людей.