Good day!))
Помогите понять причину.
На маршрутизаторе (микротик) поднят ovpn-server. За роутером корпоративная сеть, где в т.ч. windows server 2008 с терминальной службой
С удаленного клиента можно подключается клиент ovpn (tun) затем успешно подключается rdp-клиент. Подключение успешное, так как первым правилом поставлен маскарадинг с сети диапазона ovpn на локальную сеть. Без него по vpn хосты локальной сети не видны.

Но мобильные клиенты могут иметь одинаковые подсети с корпоративной. TAP строить означает возможность конфликта адресов, тем более в корпоративной есть традиционный адрес 192.168.0.1/24 (убил бы школьников!).
Поэтому я подключаю удаленного клиента ovpn (снаружи) и терминального сервера ("изнутри"). Они получаются в одной сети диапазона ovpn-pool, и могут друг друга пинговать (в т.ч. терминал с уд. клиента). На тестовый windows 10 можно зайти по протоколу RDP на его адрес ovpn.
Однако терминальный сопротивляется. Он отзывается по icmp, однако опрос телнетом порта на адрес, назначенный терминалу из диапазона ovpn-pool, даже с роутера безуспешно.
Брэндмауэр отключал, антивируса не стоит.
Возможно ли, что сеть ovpn определяется терминальным сервером как недоверенная, и поэтому не пускает из нее?

Той Серью,

Нарисуйте схему подключения с IP адресами, возможно так станет понятней.. Что-то типа этого (http://uchebana5.ru/images/557/1112887/4146661c.jpg).

Вложил файл с рисунком.
Получается, что все три конечных устройства соединены в одну подсеть 192.168.200.0/24.
На сервер по RDP удается зайти по "нативной" локалке (192.168.0.0/24), а также по ipsec c удаленного филиала на адрес 192.168.0.50 (это адрес терминала в LAN)

ПС. Не обращайте внимание на диапазон ovpn-pool, это я ошибся на рисунке, он шире.

Вот щас расшарил папку на терминальном сервере и смог на нее зайти по 192.168.200.33
Т.е. только RDP сопротивляется.
Я уж даже сменил тип сети у адаптера, создаваемого ovpn, на частную. Не помогает.

Той Серью,

Не понятно, у Вас настроен роутинг на микротиках с 192.168.200.0/24 на 192.168.0.0/24 и обратно?
Так же не понятно какой внутренний адрес в сети где стоит PC1.

Маршрут есть на РС1, я же захожу в локальную сеть предприятия. И я могу пинговать терминал по его ovpn-адресу. Я могу подключиться с РС1 по opvn, а чтобы попасть в локалку, работает маскарадинг.
Суть же в том, что и РС0 (который физически располагается в одной сети с терминалом, и поднявший интерфейс ovpn, тоже не может попасть по RDP по адреcу ovpn (192.168.200.33). А вот терминал - он может на РС0 зайти. Можно сузить проблему до взаимодействия РС0 и терминала по ovpn.
Нет ли тут чего-нибудь со стороны RDP-лицензий, ведь интерфейса OVPN на терминале при лицензировании еще не было?

Предисловие в топике с упоминанием РС1 я написал потому, чтобы не возникало вопросов, зачем я терминал тоже в ovpn загнал. Как раз, чтобы исключить конфликта адресов, если сети клиента и терминала (LAN) вдруг к какой-нибудь поездке совпадут, это же remote vpn. РС1 это и есть "мобильный клиент".

Той Серью,

Вы так и не ответили на мой вопрос: Так же не понятно какой внутренний адрес в сети где стоит PC1. »

Попробуйте все же схему нарисовать исходя из приведённого мной примера. Очень сложно понять что у Вас там где и как... Если сложно в графическом исполнении, возьмите карандаш и на листке бумаги нарисуйте от руки и потом или фото или скан выложите сюда.

Нет ли тут чего-нибудь со стороны RDP-лицензий, ведь интерфейса OVPN на терминале при лицензировании еще не было? »

Нет, в противном случае было бы сообщение о невозможности выдачи лицензии. К тому же есть ещё административная лицензия (для администратора сервера) которая работает всегда (даже без лицензирования).

И всё-таки проблема была на стороне 2008 . Несмотря на то, что в настройке было указано слушать все интерфейсы, виртуальный интерфейс не прослушивался. Попросил администратора терминала решить вопрос, теперь порт доступен и подключение устанавливается по адресу в виртуальной сети.
Правда, теперь мне надо решить другую сдачу. Я не сразу учел, что клиентское подключение ovpn активно, пока есть сессия того пользователя, который инициировал это подключение. Выходит, что чтобы терминал находился в виртуальной сети, нужно, чтобы какой-нибудь полномочный пользователь висел в локальной сессии, поддерживая активным подключение ovpn. Это, конечно, можно, но не лучший вариант. В общем, нужно, чтобы подключение терминала к серверу ovpn было постоянным.

В общем, нужно, чтобы подключение терминала к серверу ovpn было постоянным
Задачу подключения в Планировщик. Всего и делов.

Не запустить подключение из командной строки - требуется ввести пароль ключа.
Если поставить галку "Запомнить" в окне запроса пароля ключа, он запоминается, но только для ручного подключения в гуе.
В планировщике, соответветственно, установить подключение тоже не удастся. Хотя, может, я чего-то не знаю.