Точки доступа и публичные адреса.

PPPoE или PPTP тоже подойдут. Оба позволяют создавать туннели к конечной точке, так что, пока клиент может до неё добраться, можно назначать ему любой IP-адрес (неважно, мостовая у вас сеть или маршрутизированная). RADIUS позволяет управлять пользователями из центрального места (сервера) и предоставлять им доступ к таким сервисам, как PPP, PPTP, PPPoE. Оба протокола 2-го уровня инкапсулируют пакеты и имеют методы шифрования и сжатия. EDIT извините, PPPoE не предлагает шифрования… это одно из преимуществ использования PPTP вместо PPPoE. Также, когда вы используете PPTP, устройство, которое является конечной точкой, будет требовать больше вычислительной мощности процессора, так как ему приходится кодировать/декодировать пакеты.

DST-NAT?

Делай src-nat и dst-nat. Просто добавь адрес пользователя в src-nat: ip firewall src-nat src-address=10.0.5.x/32 action=nat to-src-address=207.75.xx.50 сейчас ip firewall dst-nat dst-address=207.75.xx.50/32 action=nat to-dst-address=10.0.5.x. Получится, у твоего клиента будет публичный IP-адрес. Зашёл!

Ты всё равно получишь приватный IP-адрес 10.xx.xx.xx. Тебе нужно настроить 1-to-1 NAT, чтобы MT сопоставлял публичный IP-адрес с одним из твоих приватных. Также стоит настроить резервирование для пользователей, которым нужны статические публичные IP-адреса, в DHCP-сервере, чтобы они каждый раз получали один и тот же IP-адрес. Решение, которое я выкладывал ранее, с src/dst-nat, сработает. Я не проверял точный синтаксис, но в целом именно это тебе нужно сделать. Посмотри в мануал для примеров.

Обновление: Я могу пинговать свой публичный, нат-нутый ПК извне MT. Это хорошо – удалённый доступ возможен. Но когда я получаю отчёт об используемом IP, он всё ещё показывает 207.75.xx.60, а не 207.75.xx.55. Именно через 55 я и нат-нутый. Если посмотреть на правила ната, то мой SRC NAT показывает отсутствие пакетов или байтов, а DST NAT правило показывает счётчик пакетов и байтов.

Окей, вот моя конфигурация.
/ ip firewall src-nat add src-address=10.0.4.11/32 action=nat to-src-address=207.75.xx.55 comment="Static for Goomba" disabled=no
/ ip firewall dst-nat add dst-address=207.75.xx.55/32 action=nat to-dst-address=10.0.4.11 comment="Static for Goomba" disabled=no
/ ip address add address=207.75.xx.60/26 network=207.75.xx.0 broadcast=207.75.xx.63 interface=internet comment="added by setup" disabled=no
add address=10.0.4.1/23 network=10.0.4.0 broadcast=10.0.5.255 interface=hotspot comment="hotspot network" disabled=no
add address=207.75.xx.55/26 network=207.75.xx.0 broadcast=207.75.xx.63 interface=internet comment="Public for Goomba" disabled=no

Да, выглядит хорошо, но все равно показывает основной интерфейс, .60. Если моему клиенту нужно, чтобы был публичный IP, который работал бы в обе стороны для удаленного доступа к его локальному серверу и использовал тот же IP для подключения к удаленному серверу, то это не работает так, как нужно.

Редактирую: src-nat не справляется со своей задачей.

Ну, прямо сейчас клиент — это я, а CPE — мой ноутбук, который стоит рядом со мной. Я перезагрузил его, убедился, что соединение очищено в MT, и переподключился. Проверил с помощью 3 разных сайтов, которые сообщают об IP-адресе, но безрезультатно. Всё ещё .60.

Пытался перенести правило наверх – без толку. Еще пробовал отключить все остальные правила src-nat. Работает только то, что мне нужно. Всё равно не работает. Думаю, сегодня закончу. Стол уже порядком помятый от моих ударов головой.