unhandled_local означает, что пришел пакет с локальным dst IP. который никому не нужен ("порт закрыт"). Я не знаю протокола L2TP, но смущает порт 1701 с обеих сторон -- обычно well known port используется на стороне сервера, а на стороне клиента ephemeral (случайный с большим номером). Т. е., если DFL посылала с src port = 33333, dst port = 1701, а ответ получила с src port = dst post = 1701, то, естественно, будет дроп.

PS. Посмотрел в сети, вроде бы действительно L2TP использует 1701 с обеих сторон.

В порядке бреда -- а что, если добавить правило SAT loсal -> remote с трансляциеЙ src port в 1701, обратный пакет должен автоматически попасть под обратную трансляцию.

Имхо это уже перебор!

Хотя попробовал ... - все равно

tunnel_hp_ipsec
1701
1701 ruleset_drop_packet
drop

Самое что печально-интересное, что L2TP/IPSec вообще как-то криво проходит через DFL (Выключаю все туннели и пр. на DFL для чистоты эксперимента). Пытаюсь подконнектиться из Windows - работает, но траффик не идет через соединение - страницы не открываются. Ставлю другой роутер - все ок. Может какие нужны специальные настройки/правила? Кроме allow_standart (NAT) lan2wan ?

При этом имею кучу

UDP wan
XXX.XXX.XXX.XXX
YYY.YYY.YYY.YYY
42476
54320 ruleset_drop_packet
drop

Вернее, не совсем так. Какой-то трафик проходит (например, Ping и даже 1С (!!!)), но вот страницы в браузере не открываются... Чудеса...

Кто-нибудь раскурил эту тему? Яндекс только сюда и на настройку л2тп овер ипсек СЕРВЕРА выдает результаты. А мне вот внезапно свалилась такая задача. Надо её решить на 1660 и 860е, чтобы они были клиентами L2TP over IPSec. В мануале NetDefendOS Version 10.21.02 эта тема не раскрыта.