Доброго времени суток.

Дано:

Сервер на 2008r2 с одним сетевым интерфейсом. IP: 192.168.1.119
На сервере включены: RRAS, AD, IIS, RDS, WINS, фаервол (указываю на случай, если проблемы могут быть в них)
Роутер с включённым NAT. Внутренний IP: 192.168.1.1. DHCP выдаёт адреса в пуле 192.168.1.100-149


Карта сети, соответственно:
Интернет - NAT-роутер - Сервер

Задача:
Настроить VPN (я выбрал PPTP, т.к. в большинстве руководств советуют его) так, чтобы:

Клиенты могли подключаться из интернета
Клиенты могли видеть друг друга
По-возможности - чтобы клиенты могли выходить в интернет, пока подключены


Что было сделано на данный момент:

Включена роль RRAS.
Кол-во портов для всех VPN-каналов, кроме PPPoE и PPTP, выставлено на 0
Клиенты получают адрес из статического пула 192.168.1.50-99
Для IPv4 добавлен NAT, в нём NIC указан, как публичный и NAT на нём включён
В фаерволе открыты: GRE; 423, 1701, 1723 TCP; 500 UDP
Созданы пользователи для подключения к VPN
На сервере настроен статический IP-адрес с основным шлюзом - роутером, в качестве DNS выставлены openDNS гугла
На роутере настроен порт-форвард по 500UDP и 1723TCP на сервер, так же, сервер в DMZ


Что имеется на данный момент:

Клиенты могут подключаться
Пинги между клиентами не проходят (клиенты так же не могут пропинговать сервер и роутер)
У клиентов отсутствует связь с интернетом, если не снята галка с "Использовать основной шлюз в удалённой сети"

вообще для пинга нужен ICMP по теории

В фаерволе открыл правило для ICMP-трафика, теперь клиенты могут пинговать друг друга, если у них снята галка в IPv4-настройках VPN с "Использовать основной шлюз в удалённой сети".
Если же используется гейт удалённой сети, то:
1) Клиенты друг друга не видят
2) DNS не работает (пингуются внешние IP, но не доменные имена)

Сравнение tracert с включённым VPN с использованием удалённого гейта и с выключённым VPN (машина находится в одной локальной сети с сервером):
C:\Users\Kisurd>tracert 8.8.8.8

Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30

1 1 ms * <1 мс KISURDSERVER1 [192.168.1.50]
2 * * * Превышен интервал ожидания для запроса.
3 2 ms 2 ms 3 ms 212.1.254.125
4 7 ms 10 ms 5 ms 212.1.239.41
5 2 ms 2 ms 2 ms 212.1.251.213
6 2 ms 2 ms 2 ms 72.14.212.158
7 18 ms 17 ms 17 ms 209.85.250.222
8 18 ms 26 ms 17 ms 209.85.249.79
9 49 ms 17 ms 17 ms 72.14.233.174
10 * * * Превышен интервал ожидания для запроса.
11 17 ms 17 ms 17 ms 8.8.8.8

Трассировка завершена.


C:\Users\Kisurd>tracert 8.8.8.8

Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:

1 1 ms <1 мс <1 мс 192.168.1.1
2 1 ms 1 ms 1 ms msk-b12-l53.ti.ru [212.1.254.125]
3 1 ms 1 ms 2 ms 212.1.239.41
4 2 ms 1 ms 1 ms msk-r2-v9-gi-3-9.ti.ru [212.1.251.213]
5 3 ms 1 ms 1 ms 72.14.212.158
6 17 ms 17 ms 16 ms 209.85.250.222
7 17 ms 16 ms 16 ms 209.85.249.77
8 17 ms 16 ms 16 ms 72.14.233.172
9 * * * Превышен интервал ожидания для запроса.
10 17 ms 16 ms 16 ms google-public-dns-a.google.com [8.8.8.8]

Трассировка завершена.

покажите ipconfig -all клиента при включенном впн

По-возможности - чтобы клиенты могли выходить в интернет, пока подключены
Это как? Клиенты из Интернета выходят в Интернет через ваш VPN? Бред.

Для IPv4 добавлен NAT, в нём NIC указан, как публичный и NAT на нём включён
Какой NAT? У вас же одна сетевая карта!

У клиентов отсутствует связь с интернетом, если не снята галка с "Использовать основной шлюз в удалённой сети"
Она и должна быть снята, иначе весь трафик попрёт через вашу сеть.

покажите ipconfig -all клиента при включенном впн »

Это с гейтом удалённой сети
Адаптер PPP VPN-подключение:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.51(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
DNS-серверы. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBios через TCP/IP. . . . . . . . : Включен

Это со своим гейтом
Адаптер PPP VPN-подключение:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.53(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBios через TCP/IP. . . . . . . . : Включен

Это как? Клиенты из Интернета выходят в Интернет через ваш VPN? Бред. »
Это глупо или невозможно?
Я планировал этот VPN в том числе в качестве обхода закрытых портов и сайтов (например - в ВУЗах).

Какой NAT? У вас же одна сетевая карта! »
Спасибо, сейчас отключу

Она и должна быть снята, иначе весь трафик попрёт через вашу сеть. »
Это и нужно, в теории.

DHCP включен. . . . . . . . . . . : Нет »
Так разве должно быть?
Основного шлюза нет, поэтому нет и пинга. Какой ip сервера vpn прописан в свойствах vpn подключения?

надо прописать маршруты и починить dhcp

Ох, не обратил на это внимание.

IP там плавающий, поэтому прописан домен, привязанный к динамическому DNS.

Можете годных руководств скинуть?
Я несколько нуб в этом деле, сервер поднимаю, чтобы учиться :)

Это глупо или невозможно?
Это глупо, ибо трафик идёт и через вас, и через провайдера клиента.

Это глупо »
Это как раз по моей части.
Не подскажете, как сделать так, чтобы это работало?