Но стоит мне только подключиться к сети извне (путем pptp)

Зачем пробрасывать порты, если ты уже подключился к сети?

Маршрутизатор в одном городе, я в другом. Необходимо пробросить порт.

Необходимо пробросить порт.

Опиши в чём проблема, термин «свистопляска» ровным счётом ничего не проясняет.

Он имел в виду что ты можешь по pptp выдать ip из внутренней подсети(не забудь proxy-arp включить только) и ходить на ресурс без проброса портов.

А вообще давай конфиги.

У меня есть маршрутизатор. Там запущен сервер pptp. Я к нему подключаюсь. И хочу пробросить порт от маршрутизатора до девайса, что подключен через pptp.

http://pastebin.com/MyWkDUc8 Локалка - 192.168.88.0/24 VPN - 192.168.89.0/24

in-interface=pppoe-out1 начнем с того что в правилах проброса у тебя явно указан входящий интерфейс. И в /ip firewall filter не забудь открыть доступ с pptp на сервер.

А где мне настраивать proxy-arp? Сейчас погуглил немного на эту тему. Получается, что proxy-arp я могу настроить только на ethernet портах, правильно? В настройках же коннекта не могу настроить arp

Ну там рядом правило для локального компьютера. И там все работает. Если вы про это http://pastebin.com/10FVzjmN то доступ открыт

В случае с пробросом порта на компьютер, находящийся в локалке, проблем нет, юзаю netmap правило в nat. Но стоит мне только подключиться к сети извне (путем pptp), сразу начинается свистопляска

Из твоего описания непонятно вообще ничего. Давай с примерами «так работает», «а так не работает»

Скил телепатии позволяет предположить, что ты изнутри локалки хочешь подключиться к DNAT'у, сделанному на внешний адрес той же самой локалки. Очевидно, что без SNAT это работать не будет

Смотри: 192.168.1.1 - mikrotik
192.168.1.2 - home server
1.2.3.4 - home external address

5.6.7.8 - client external address
192.168.1.3 - client in VPN

NAT: 1.2.3.4 : tcp/443 -> 192.168.1.2 : tcp/443

случай 1) ты обращаешься из интернета через NAT

Клиент отправляет:
5.6.7.8 -> 1.2.3.4 : tcp/443

после DNAT сервер получает:
5.6.7.8 -> 192.168.1.2 : tcp/443

сервер отвечает:
192.168.1.2 : tcp/443 -> 5.6.7.8

после обратного NAT:
1.2.3.4 : tcp/443 -> 5.6.7.8

Всё красиво, всё работает

случай 2) ты обращаешься из той же домашней сети

Клиент отправляет:
192.168.1.3 -> 1.2.3.4 : tcp/443

после DNAT сервер получает:
192.168.1.3 -> 192.168.1.2 : tcp/443

сервер отвечает:
192.168.1.2 : tcp/443 -> 192.168.1.3

тут засада. в соответствии с таблицей маршрутизации, он ответит напрямую, 192.168.1.3. И обратно через NAT этот ответ не пойдёт

В результате, клиент получит ответ
192.168.1.2 : tcp/443 -> 192.168.1.3

Но он отправлял запрос к другому адресу. Спросил он 1.2.3.4, а отвечает какой-то левый 192.168.1.2. Разумеется, этот ответ отбрасывается

есть два решения
1) добавить SNAT на mikrotik
2) отделить внешний DNS от внутреннего. Во внешнем server имеет адрес 1.2.3.4, во внутреннем - 192.168.1.2

В общем, кури LARTC и iptables howto до просветления. Есть русский перевод старых версий

Решение

Взял свой bridge-local, к которому коннектится буквально все (разумеется, кроме порта с внешним миром). Изменил пункт proxy с enabled на proxy-arp и все зработало

вот верное решение https://kashalot.tk/mikrotik-nastrojka-probrosa-porta-chtoby-i-iz-lokalnoj-se...