Mikrotik ( routeros 6.x)

Слева в меню Выберите "Quick Set". В правом верхнем углу в выпадающем меню выберите режим работы - Home AP (WispAP). Мак адрес из раздела WAN сообщите в контакт-центр . 
В разделе LAN включите DHCP Server, UPnP;
В разделе Wireless в графе SSID укажите имя сети. Имя рекомендуется использовать формата FLYNET.BY_point_xx, где xx - произвольное число. В графе Pre-Shared Key укажите ключ (пароль) сети. Ключ сети старайтесь выбрать максимально сложным, вводить его при подключении к беспроводной сети нужно будет лишь один раз при первом подключении устройства. Для некоторых устройств принципиально указание кода страны, поэтому укажите и его. Сохраните изменения нажатием Apply Configuration

В меню Interfaces нажмите Add New и выберите PPTP Client или L2TP Client

В качестве адреса сервера (Connect To) укажите vpn.flynet.by

Укажите User и Password из бумажного договора (из пункта Учётный данные для доступа к Интернет) В графу User введите имя пользователя (логин доступа в Интернет), в графу Password - пароль (Первоначальный пароль доступа к Интернет).

Name - flynet (это название подключения) или оставьте как есть

Profile выберите default, отметьте галочкой Dial On Demand и Add Default Route.
Сохраните изменения нажатием Ok или Apply

В меню IP - Firewall - NAT нажмите Add New

Создайте правило маскарадинга для интерфейса vpn-соединения. Chain  - srcnat. Для этого в Out Interface
укажите интерфейс созданного vpn-подключения (в нашем случае pptp-out1), а в Action выберите masquerade. Сохраните изменения нажатием кнопки Apply или Ok

Зайдите в меню System - SNTP Client и включите автоматическую синхронизацию времени

В меню System - Clock укажите часовой пояс

Это необходимо, если Вы допускаете обращение в службу поддержки провайдера и заинтересованы в быстрейшем решении возникших у Вас технических вопросовЗайдите в меню IP - Firewall Нажмите кнопку Add New для добавления правила
Chain - input, src address - 91.215.176.6 с ! (это значит, что этот адрес подпадает в исключения).
In Interface - ethernet1-gateway  (WAN-порт; тоесть, подключение разрешено только изнутри сети, не из интернета)
action - drop 
Apply

Видим результат - появилось еще одно  правило. Любые запрещающие правила должны быть в конце, очередность имеет значение, можно "перетаскивать" правила вверх-вниз мышью

Добавляем еще одно -  для ограничения доступа из Интернета:

Add New 
Chain - input
In Interface - pptp-out1  (так называется наше интернет-соединение)
action - drop 
Apply

Для правильной работы правил необходимо, что бы запрещающие правила были в конце. Если это не так, измените очередность правил перемещением их мышкой с зажатой левой клавишей.

В меню IP - Firewall - NAT нажмите Add New

Создайте правило
Chain - dstnat
action -  netmap
Protocol, port входящий интерфейс (в данном случае - из интернета) => ip-адрес внутри сети, порт

To Port - можно не заполнять, если нужно пробросить порт 1:1, т.е. 2255--2255. В ином случае укажите на какой порт на пк внутри сети нужно пробросить пакет
Сохраните правило, нажав ok\Apply вверху страницы

 Значение порта должно быть НЕ занято по крайней мере здесь:

To Addresses - ip-адрес компьютера внутри сети, для которого делаем проброс. Т.к. после перезагрузки маршрутизатора адреса компьютерам внутри сети могут быть выданы другие, необходимо "зафиксировать" адреса за компьютерами, для которых делается проброс. Для этого  в IP-DHCP Server - Leases нажмите на нужный Вам компьютер и нажмите кнопку Make Static:

Сохраните правило, нажав ok\Apply вверху страницы

Правило проброса создано

Иногда бывает так, что правило сразу не работает. Тогда можно включить\выключить правило (управление правилами слева)

Слева в меню Выберите Quick Set. В правом нижнем углу смените пароль на доступ к устройству. Сохраните изменения нажатием Apply Configuration