Подскажите правило которое необходимо прописать Mikrotik чтобы пробросить порт 1723 для pptp на Windows Server 2008 R2. Если перенаправляю с порта 1723 на порт 1723 и при подключении с клиента указываю только белый IP микротика то подключается без проблем, но если указать белый ІР и порт (0.0.0.0:1723) то не подключается. Идея в том что бы с микротика делать PPTP VPN подключение на виртуалки.

(0) сервер впн где поднят?
И что за странный порт (0.0.0.0:1723)? Где этому учат?

(0) Накой этот изврат - внятно можно объяснить?

Сервер на винде, перед виндой стоит микротик, надо подключится к этому серверу.

(1) Почитай что такое странный порт 1723 https://ru.wikipedia.org/wiki/PPTP

зачем ты порт на сервер перенаправляешь?

У тебя клиент какой, виндовый? Он сам на 1723 стучится, ему не надо порт указывать.

(6) Да, он сам стучится на 1723, но у меня несколько виртуалок где поднят pptp,  надо на каждую виртуалку сделать свой VPN.

(7) Вот тут вопрос этот был: http://forum.ru-board.com/topic.cgi?forum=8&topic=33668

(8) Принцип работы я знаю, мне интересно как прописать правило на микротике.

Зачем тебе на виртуалки пробрасывать впн?
На микротике мне кажется достаточно 1 впн, для аккаунтов pptp укажешь статические впн ip. В фаерволе правила напиши кому куда можно.

(10) Сейчас перенаправлено на RDP, веб сервера и все отлично работает, а перенаправляю на 1723 и неработает.

(11) на микротике свой pptp-сервер, включи просто его с авторизацией в домене, или просто по локальному списку. Так проще и быстрей будет.
Проброс vpn-порта тебе ничего не даст (к тому же он не один используется).

(9) В смысле - прописать правило? Внешний порт 1723 пробрасываешь на 1723 первой виртуалки, затем какой-нибудь 20001 - на 1723 второй виртуалки, 20002 - на третью и так далее. Вопрос, во-первых, в том, что виндовому клиенту придется в реестре PPTP порт менять. Во-вторых, отключи на микротике сервис PPTP.

А вообще, странная какая-то конфигурация. Настроил бы PPTP на микротике, как в (12) советуют, и на внутренних виртуалках не надо ничего заморачивать лишнего.

(11) 1723 - только для авторизации, данные по протоколу GRE идут. его тоже прокинуть надо.

+(13) Просто так указать в виндовом клиенте <адрес>:<порт> нельзя.

+(15) А, да, GRE тоже пробрасывать надо. Но тут могут быть проблемы.

+(16) Еклмн, что-то я сам все подзабыл.

Не будет у тебя работать проброс GRE на разные внутренние серверы. Шлюз, если вообще умеет GRE passtrough, не способен прогонять через NAT более одного туннеля.

+(17) Это чисто специфика протокола. Переходи на OpenVPN.

(17) Если у клиентов статические IP то можно вроде разделить.

(19) Не-а, не прокатит. Вот L2TP - можно, он инкапсулируется в UDP, а GRE - протокол того же уровня, что и TCP/UDP, у него нет понятия "портов".

+(20) Тут все предельно четко объясняется: http://lists.freebsd.org/pipermail/freebsd-net/2003-July/000941.html

(20) Ну если у клиентов статические белые IP можно в фаерволе указать проброс.

+(21) Впрочем, теоретически это возможно, но практической реализации вроде как и не было еще.

(22) Как ты пробросишь GRE с разных портов роутера на разные айпишники внутри NAT?

(0) Вообще, попробуй так: включи GRE passthrough на микротике и настрой проброс 1723 => <vm1>:1723, 20001 => <vm2>:1723. Далее, у второго клиента найди в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}  
там ищи секцию "Минипорт  WAN (PPTP)" и поменяй порт на 20001. Далее проверь. Если не прокатывает - микротик не умеет сессионно пробрасывать GRE и затея твоя не выгорит.

(24) Не буду я никакие порты пробрасывать. Я полностью гре от источника 1 буду на виртуалку 1 пробрасывать.

(26) В условии задачи внутри за NAT-ом ДВЕ виртуалки.

+(27) Т.е. "несколько" :)

(27) По другому опишу.
От источников 1,2,3,4 буду на виртуалку 1 пробрасывать
От источников 5,6,7,8 на виртуалку 2

(29) Угу, а твой роутер сессионно умеет пакеты GRE делить?

Проще, имхо, всё же создать локального юзера на микроте и всё разрулить им, в один клик включив впн-сервер

(31) +100500 ТС избыточные конструкции лепит.