То что клиент это винда - это новая информация. Думал, другой микротик.

не, винда

Либо ставите в настройках птицу "Использовать шлюз в удаленной сети" - тогда винда начинает лить ВЕСЬ трафик в тунель. Включая нужный вам 192.168.88.0/24
Если, конечно, она сама не в этой же сети за другим микротиком, настроенным по умолчанию. - Это засада.

нет, она будет в 192.168.0-1.ххх

В общем по хорошему подсеть микротика поменять на что-то дивное, нежели 88

Либо не ставите, и тогда нужно городить скрипт, который в общем случае юзер запускает после поднятия туннеля. Скрипт смотрит назначенный IP и пишет route add 192.168.88.0 mask 255.255.255.0 через этот ip. Ну или назначаете юзеру всегда один IP и в скрипте тупо роут адд на него.

Решение с галочкой мне нравится больше, пусть весь траф туда идёт. )

Именно. Одно из правил - никогда не использовать дефолтные сети. А также
192.168.0.0
192.168.1.0
192.168.100.0
Придумайте случайное число для третьего октета )

Это пока у вас 1-2 клиента. Как их будет 12 тысячи - придется или 4011 покупать, штук эдак 10, или морочицца с маршрутами. )

Это фирма, там 3 бухгалтера через RDP сидят, на разных портах роутера )

зря вы так. настроит человек несколько объектов. а потом познает дзен netmap подмены первых октетов. ) интересно же.

С моими масштабами - это всё наизусть помнить не сложно )) Я не админ, не моё это. Но иногда приходится ) И хочется делать хорошо

Злой вы. ))
2 @Kompumaster - не делайте так. Это bad network design.

Как не делать? Я хочу бухгалтеров в vpn запихать, что бы они своим rdp через тунель тыкались, а не в открытую через инет. Плохая идея?

это микротик. это обучение через боль.

Мне кажется выставлять RDP порты с1С базами за последние 10000 лет с простыми паролями открытыми в инет - вот плохая идея. Suicidal netword design. )))

мне тут недавно кейс закинули на драфт проектирование. 40g между зданиями. прикинул на длинке - минимальный свитч 300к. микротик CRS326-24S+2Q+RM 70к.... правда модули только многомод.

вкралась идея что тики делают железо из мусора... не всмысле плохо. а всмысле как китайцы с huanan.

тем временем галочка стоит, а локалку оно не видит... хммм...

Идея хорошая. Не так - это как написал @port9nka
Но ВПН - не панацея. Только ради закрывания РДП смысла его применять особо нет. Вы просто меняете один сервис, открытый на весь интернет, на другой сервис - ВПН. И вам начнут перебирать пароли или ддосить не РДП, а ВПН.
Если у клиентов постоянный реальный IP и нет необходимости ходить с разных и неизвестных - просто публикуете порт РДП через dstnat и зарезаете файерволом - разрешаете только с известных IP.
Если на стороне клиента постоянный IP сделать нереально - я в таких случаях делаю пинкнокинг. Для всего мира всё закрыто. Клиент запустил скрипт из трех пингов разной длины пакетов - дверца открылась для его IP на N часов. Гораздо проще, не надо городить ВПН и настраивать его на клиенте. Можно пользоваться с любых мобильных устройств - есть программы - кнокеры, только параметры ваши прописать. У меня вот так.