Имеем:
1) Маршрутизатор Mikrotik hAP ac² (RBD52G-5HacD2HnD-TC) с настроенным l2tp ipsec vpn.
2) Десяток серверов клиентов на разных провайдерах и разном оборудовании (не Mikrotik)
3) Несколько десятков юзеров, которые работают из дома на своих серверах

Задача: Настроить доступ через указанный Mikrotik на RDP серверов

Неизвестные: логины и пароли роутеров клиентов, а также нет возможности (да и желания) открывать порты серверов наружу, они все за NAT`ами и там пусть и живут.

Решение: идея была такова, чтобы создать юзеров l2tp и руками роутить маршруты к серверам, но! многие серверы имеют одинаковые ip-адреса в своих локальных сетях :(
где-то видел (или слышал), что можно добавить привязку к МАС при построении маршрута, но такого никогда не делал...

Какие будут идеи?

PS: При всём построении через l2tp ipsec vpn на всех серверах должен работать neorouter с пом. которого 1Сники мониторят онлайн серверов и могут подключится по RDP

многие серверы имеют одинаковые ip-адреса в своих локальных сетях »
как эти разные локальные сети подключаются к микротику?

как эти разные локальные сети подключаются к микротику? »
Все сервера будут подключены к ВПН вручную через встроенного клиента Windows

Все сервера будут подключены к ВПН вручную через встроенного клиента Windows »
тогда vpn будет выдавать им свой индивидуальный ip адрес, по этим адрем и настраивайте маршрутизацию.
А если эти адреса сделаете статичными, совсем все замечательно будет

Появилась идея:
1) Сервера ручками подключить к Mikrotik и добавить автоподключение;
2) При создании юзеров прописывать маршруты руками и жёстко указать шлюзы, чтобы трафик какого-нить домашнего ПК мог идти исключительно на сервак этой конторы, а не на чужой сервер;
3) Для тех у кого откровенно душманское оборудования типа тплинк 741 )) ставить OpenVPN Connect для Windows;
4) Вместо neorouter для обслуживающей конторы юзать OpenVPN, он даст возможность мониторинга серверов онлайн.

В дальнейшем юзать Dude или Zabbix для мониторинга.

Как думаете, жизнеспособно?

А если эти адреса сделаете статичными, совсем все замечательно будет »
Я всегда настраиваю клиентов ВПН на микротике со стаичными IP.
Вот пример скрипта:

:global cname "test";
:global cip "101";

/ppp profile add name=$cname local-address=("10.1.1.".$cip."") remote-address=("10.1.10.".$cip."") only-one=yes
/ppp secret add name=$cname password=$cname service=l2tp profile=$cname
/ip route add dst-address=("192.168.1.$cip./24") gateway=("10.1.10.$cip.")
/interface l2tp-server add name=("l2tp-".$cname."") user=$cname
put "ok"

3) Для тех у кого откровенно душманское оборудования типа тплинк 741 )) ставить OpenVPN Connect для Windows; »
чем вам так тплинк не угодил? Если будете использовать OpenVPN, то по любому всем пользователям его ставить придется для подключения, т.к. windows из коробки не знает что это такое.
4) Вместо neorouter для обслуживающей конторы юзать OpenVPN, он даст возможность мониторинга серверов онлайн.
В дальнейшем юзать Dude или Zabbix для мониторинга. »
не помню уже, микротик позволяет в полной мере мониторить свой openvpn сервер или нет

windows из коробки не знает что это такое. »
Неужели? :) А это что?
https://i.ibb.co/Z86dPmN/12-05-2021-17-20-54.png (https://ibb.co/1qfZ56b)

не помню уже, микротик позволяет в полной мере мониторить свой openvpn сервер или нет »
Умеет, правда с бубном с сертификатами, но умеет. А на 7й версии даже UDP работает.

чем вам так тплинк не угодил? »
Дешёвое гов..цо :) Ровно как и D-Link и Asus. Лучше уж Mikrotik или для дома на худой конец Xiaomi, там железо внутри людское...

Неужели? А это что? »
я не вижу тут openvpn, а только l2tp, это разные вещи
Дешёвое гов..цо »
на ваши задачи оно ни как не влияет

я не вижу тут openvpn, а только l2tp, это разные вещи »
Если у меня в одном месте есть 2 ПК, а сервер в другом, то по l2tp Mikrotik сможет одновременно работать только один. Вот тут и нужно будет либо менять роутер на микротик либо использовать openvpn.
У Mikrotik возможно только одно одновременное подключение с внешнего IP.