From LAN to external PPTP VPN server

modprobe ip_nat_pptp?

Судя по изложению проблемы, скорее modprobe днк

нет. не помогает. tcpdump на внешнем интерфейсе показывает так.

03:49:31.028298 IP EXTIP > EXTVPN: GREv1, call 1152, seq 1, length 64: LCP, Conf-Request (0x01), id 1, length 50
03:49:31.029727 IP EXTVPN > EXTIP: GREv1, call 46735, seq 4, ack 1, length 55: LCP, Conf-Reject (0x04), id 1, length 37
03:49:31.610247 IP EXTVPN > EXTIP: GREv1, call 46735, seq 5, ack 1, length 39: LCP, Conf-Request (0x01), id 3, length 21

Но мне нужно, чтобы сотрудники ещё и могли подключаться из локальной сети к внешним XXX серверам.

Если стоит такая задача, то она всегда решается наиболее просто/удобно/безопасно посредником, то есть proxy. Для pptp так и искать pptp прокси. Там убоно без всякого ядерного фильтра настраивается доступ как для сотрудников, так и по внешним адресам.

не хочется лишний софт ставить на роутер хотелось бы заставить работать без него

у меня в задаче стоит доступ сотрудников из локальной сети к любым внешним pptp серверам. их много, они разные и меняются по ходу пьесы.

у меня в задаче стоит доступ сотрудников из локальной сети к любым внешним pptp серверам. их много, они разные и меняются по ходу пьесы.

Это какой-то бардак. Равносильно тому, чтобы выдать им всем по белому адресу и забить на какой-то порядок в конторе.

Они работают на определённую компанию и им персонально предоставляется доступ по pptp Дальше они работают в их сети, например с SAP или С каким-то их внутренним сервером.
Компании разные. Доступ в из сети определяется их внутренними политиками и сказать, ребята, замените этот чёртов pptp на что-то другое нельзя.
Вот такая специфика

неужели нет решения?

Почему нет? Есть и ответ на него содержится в вашем же вопросе.

Это я открыл для сотрудников локальный VPN сервер.

В FORWARD указан для всех ACCEPT, что-ли?

-d 1.1.1.2/32

и

GRE на 2.2.2.2

У вас там два разных «белых» ip-адреса на маршрутизаторе, несколько таблиц маршрутизации?