man1988 писал(а):
На вкладке Адвансед галки не было и нет.
А если снять галку на вкладке Роутинг, то даже подключение клиента не пройдет.
может этот маршрут вручную добавлен, его надо все равно удалить
он не нужен, никакой l2tp сети на интерфейсе ipsec фильтра нет, она на интерфейсе l2tp сервера и маршрут динамический
man1988 писал(а):
Там интереснее. Если ставить дополнительно правило Allow на прохождение ICMP-пакетов, то пингуется !ТОЛЬКО! lan интерфейс DFL`ки.
так и должно быть, для пинга ресурсов локальной сети за дфл, нужно отдельное правило, я выше указал какие интерфейсы и сети для этого надо прописывать в правиле (вместо core - lan, вместо ip_lan_dfl - lannet)
отфильтруй соответствующий дроп для наглядности, и также по нему создай правило
если уверен, что правило есть, то должно подыматься соединение (status/routes), если соединения нет, то смотри логи
то что пингуется lan_ip_dfl хороший знак
возможно не пингуется потому что, обратная маршрутизация пытается отработать по этому "левому" маршруту с ipsec
при установке соединения проверяется наличие сети источника (в данном случае по main таблице), а у тебя там этот маршрут
в status/routes динамический маршрут есть при подключении клиента?