Andiamo con ordine...
Andrew93 R1 attualmente funge da server L2TP, non credo sia un software particolare: è built-in nel firmware Vodafone del router.
L2TP è considerato insicuro e violabile da anni, ti consiglio di usare una VPN più sicura in una soluzione definitiva (dalla classica OpenVPN, facile ma non particolarmente prestazionale, alla IPSec o la nuova Wireguard), magari terminata in un PC o comunque un apparato dove hai più libertà di manovra di una castratissima Vodafone station.
Andrew93 Ho impostato su R2 il forward delle porte per le telecamere, ma se vado a testare queste porte sull'ip interno sia da un dispositivo interno di R2 che da R1 (tramite VPN) le porte risultano chiuse.
Perché il forwarding delle porte sui dispositivi domestici viene applicato solo all'interfaccia WAN, non alle altre... Il tuo traffico sta arrivando invece da una VPN punto punto.
Ma il punto vero è che non ti serve un forward di porte, perché con opportune rotte statiche le due sottoreti private possono comunicare tra di loro, va solo definito il gateway per i range di indirizzi della sottorete di R1 via VPN su R2, e viceversa su R1. Se ti serve vedere le telecamere da esterno (pensaci bene, cerca Mirai per capire a cosa mi riferisco), il port forwarding andrà fatto su R1.
Succo del discorso è che queste configurazioni sono "troppo complesse" per apparati studiati solo per esigenze consumer basilari, temo tu debba tamponare con dei Raspberry o PC per fare quello che i router all-in-one non ti permettono...
Edit: Samuele ha realizzato un bellissimo schema mentre scrivevo, bravo! Ma L2TP non si basa su IPsec, assolutamente... Può incapsulare un flusso IPsec, ma di per sé è poco più di un GRE.
Nel tuo schema le rotte statiche servono eccome! Solo che se vai a dire su alcune implementazioni del software quali reti "esponi" dall'altra parte del tunnel te le applica in automatico, ma non sempre lo fa.