Собрал тестовый стенд. Для упрощения все в одной сети 192.168.100.0/24
Компьютер->R1->R2
Компьютер 192.168.100.100
R1 192.168.100.91
R2 192.168.100.19 (pptp server, l2tp server)
Настройки маршрутизатора R1:
0 ;;; l2tp
chain=dstnat action=dst-nat to-addresses=192.168.100.19 protocol=udp dst-address=192.168.100.91 dst-port=500,4500,1701
log=no log-prefix=""
1 ;;; pptp
chain=dstnat action=dst-nat to-addresses=192.168.100.19 protocol=tcp dst-address=192.168.100.91 dst-port=1723 log=no
log-prefix=""
2 chain=dstnat action=netmap to-addresses=192.168.100.19 to-ports=80 protocol=tcp dst-address=192.168.100.91 dst-port=81
log=no log-prefix=""
3 chain=srcnat action=src-nat to-addresses=192.168.100.91 dst-address=192.168.100.19 log=no log-prefix=""
Правило №2 для проверки проброса, т.е. с компьютера открываем
http://192.168.100.91:81 и получаем доступ к R2
Правило №3 для корректной работы проброса когда маршрутизаторы в одной сети.
С компьютера по vpn pptp подключается через NAT, а вот по vpn l2tp не хочет.
Log R2:
09:40:27 ipsec,info respond new phase 1 (Identity Protection): 192.168.100.19[500]<=>192.168.100.91[500]
09:40:27 ipsec,info ISAKMP-SA established 192.168.100.19[4500]-192.168.100.91[4500] spi:f4929a3dd151689d:203c02730aba4b7a
09:40:53 ipsec,info purging ISAKMP-SA 192.168.100.19[4500]<=>192.168.100.91[4500] spi=f4929a3dd151689d:203c02730aba4b7a.
09:40:53 ipsec,info ISAKMP-SA deleted 192.168.100.19[4500]-192.168.100.91[4500] spi:f4929a3dd151689d:203c02730aba4b7a rekey:1