Как то Вы слишком плаваете...
Я вроде Вам дал пошаговую инструкцию, осталось только сделать и попробовать.
Итак, уточняемся:
1)
Микротик - как конструктор ЛЕГО, можно лепить многое и много раз (два раза говорю)
2) Пулы - во-первых, их может быть много, они могут быть разные, делать их можно для чего либо,
то есть у меня есть пулы адресов для локальной сети (и эти пулы через DHCP) раздаются в локалке,
есть пулы для разных профилей РРР (то есть один профиль - это для доступа скажем к безлимиту,
второй пул - для захода в сеть другого провайдера и так далее).
Поэтому шире смотрите. Пулы можете на создавать много, хоть целую кучу, и не обязательно их все использовать,
пулы - как переменные в скрипте, описаны и ладно.
3) Теперь о профилях, ещё раз - разные права,надстройки, действия для ВПН-щиков - всё это и требуют разные профиля,
логика удалённого подключения у меня сделана на профилях, то есть, если я Васю засовываю (в свойствах его, выбираю
профиль
например VPN-3, то он будет получать адресацию которая закреплена за профилем этим,
в пуле у меня этот пул помечен тоже как Pool-VPN3 и соответственно выдаётся из этого пула только тем,
кто имеет право под/или в рамках профиля работать. Можно выдавать в профиле и локальную адресацию (Ваше право),
гибкость у микротика огромна, задача Ваша сначала понять основы, поиграться на простом, а уж потом
создавать и "лепить" что-то сложное.
4) Теперь о сетях, сетку(сетки) брать можно любые, главное с разумных подходом и с правильно рассчитанной маской сети,
чтобы не было сюрпризов. Я делаю так, чтобы ВПН-щики
НЕ ПЕРЕСЕКАЛИСЬ с моей локальной сетью, так и безопаснее,
гибче подход, можно манипулировать доступами, да и зачем мне в мою сеть удалённый пользователь. А вдруг у него вирус?
5) НАТить Вам по любому придётся(наличие белых адресов не берём в расчёт
), и тут есть тоже масса вариантов,
можно натить от вашего внутреннего айпи локальной сети (например чтобы внутри сети файрволы или что-то ещё работало,
NAS-ы пропускали, и так далее), можно натить от сессии Вашего провайдера, какая разница какую сеть/пул/адрес НАТить
наружу, одну сеть (только локальную) или две-три. НАТ делается естественно в файрволле, естественно надо правило
для ВПН-щиков сделать как можно более корректное, максимально описывающее что и куда им и через какой интерфейс.
Напоминаю, что правила НАТ также имеют приоритетность, а это означает что если Вы проНАТите в одном (в узком направлении),
то в другом клиент или ВПН-щик может не получить доступ.
У меня да, все сети которые я закрепил за профилями - проНАЧены, одна подсеть с доступпом к безлимиту соответственно проНАЧена для этого пула
явно, плюс указан исходящий интерфейс провайдера-безлимита. Есть профиль созданный для входа в серую сеть другого провайдера,
там много вкусного (фильмы,сериалы), и как раз отдельный профиль НАТит ВПН-щиков этого настроенного профиля от адреса этого провайдера,
и исходящий интерфейс - конечно сессия на этого провайдера.
6) ВПН-подключение или ВПН-сеть для Вас - должны быть на схеме - как сеть/квартира друга, которого Вы хотите подключить к себе,
но у него уже своё адресное пространство, свои сети и надо это корректно "подружить".
Поэтому рисуйте схему, рисуйте пулы, сети, шлюзы и постарайтесь понять....а потом и всё получиться и с ВПН.
Как-то так.......всё же пробуйте...пора от теории и вопросов - переходить к практике и к результатам, не бойтесь ошибок