Добрый день. По моему вопросу есть варианты более красивые, чем натить в локалку из впн?

Вот именно для Вас @artemlight ночью целую речь толкнул.

Причем, я смотрю, в доменных тачках по бэйсику с локальным акком уже не пускает.

Купите Firepower. Или Fortigate.
Можно еще разобраться с работой арп-прокси. Или пушем маршрутов в IKE2.

Мне кажется, это скорее ограничение AD )

Разумеется.

по прокси-арп понял, но вопрос несколько в другом - если у клиента впн адрес не из локалки, то для получения пакетов от узлов в локалке нужно, чтоб они знали маршрут до впн клиента. А они не знают его и знать не могут, так как default router у них прописан другой. Вот я и спросил, может есть вариант, когда впн клиент получает адрес из локальной подсети и все узлы шлют ответы впн-клиенту микротику (впн-сервер), а он уже дальше пересылает. Вносить изменения в настройки узлов сети - Defult router нельзя.

Там в принципе Basic'а нету )

Ну я к тому, что вполне себе секьюрно все.

Прописывать роуты на клиентах только.

Ну или смотреть икев2

Но винда там тоже принимает это как 0.0.0.0, если не ошибаюсь.

или натить, как я и сделал. Понял, значит вариант я выбрал правильный, просто думал, может есть что то лучше.

Спасибо за помощь. )

NAT это костыль. Самый правильный вариант - пушить маршруты. L3 - единственное, что нормально работает в этом мире.

Как их пушить-то, не пойму?

и куда я их буду пушить, если роутером по умолчанию я не рулю?

Кстати, в винде серверной ж есть средство сбора VPN-клиента! Туда можно, насколько я помню, как раз закладывать роуты! )

Ты про симак?

Но NAT вы как-то натсроили )