Конфигурация:
2 канала провайдера

настроки DI-LB604 (прошивка последняя с ftp)
lan1:
ip: 192.168.0.1
mask: 255.255.255.0

wan1:
ip: 217.15.159.156 (внешний, доступен из интернета)
mask: 255.255.255.224
gt: 217.15.159.129
dns1: 217.15.134.65
dns2: 217.15.135.68

wan2:
ip: 172.25.141.118 (локальный провайдера Центртелеком)
mask: 255.255.255.224
gt: 172.25.141.97
dns1: 217.15.134.65
dns2: 217.15.135.68

Load Balance : Enabled
Load Balance Base on : Session Established

Virtual Server:
Enable : yes
Server Name : PPTP
Private IP : 192.168.0.2 (ip сервера, файервол выключен, VPN сервер настроен и работает)
Protocol Type : TCP
Private Port Range : 1723 ~ 1723
Interface Binding : WAN1
Public Port Range : 1723 ~ 1723
Allowed Remote IP : From 0.0.0.0 To 0.0.0.0

IP SEC: WAN1 (on, off разные комбинации)
PPTP Passthrough: WAN1 (on, off разные комбинации)

Также на сервере есть внешний интерфейс, через который работает интернет

Маршрутизация на ip:
217.15.128.0/255.255.224.0
172.16.0.0/255.224.0.0
настроена в ручную

Вопрос:
1а. почему я не могу достучаться до VPN сервера по ip 217.15.159.156 с внешнего ip.

1б. А также по http, ftp и т.п.

Скорее всего сервер просто отвечает не через тот интерфейс. Попробуйте для проверки отключить второй интерфейс и шлюзом по умолчанию поставить DI-LB604

Это действительно так. И ваш предложенный способ сработает.

Но тогда вопрос возникает в другом:
Virtual Server (This feature allows the servers (web server, mail server, FTP server, DNS, ... etc) on your LAN to be accessed from the Internet. ) - это по сути port-mapping порта с внешнего интерфейса на внутренний.
Т.к. на самом устройстве D-Link маршрутизации никакой нет, то пакет должен идти следующим образом:

MyIP->217.15.159.156->192.168.0.1->192.168.0.2
Т.к. запрос идет с 192.168.0.1, а маршрут в эту сторону есть через сетевой интерфейс LAN1<->Сетевая карта компьютера, то обратно пакет должен пойти:
192.168.0.2->192.168.0.1->NB IP->MyIP

И главное чтобы была маршрутизация 192.168.0.1<->192.168.0.2, а она есть, т.к. маска 255.255.255.0

Я в чем-то не прав?

Или нужно чтобы ip-адрес D-LINK был указан в качестве основного шлюза?

Вы не правы в том, что NAT к входящим пакетам не применяется. Адрес отправителя у пакетов, приходящих на сервер не 192.168.0.1, а реальный ip-адрес подключившегося к 217.15.159.156

Мне именно не нужен NAT. Мне нужно, чтобы 192.168.0.2 видел поключение от 192.168.0.1, а не от внешнего ip.

Как это можно реализовать?

На этом устройстве такое реализовать невозможно.