Работает subj со стримом в режиме NAT и всё бы хорошо но вот сам модем не отвечает при истечении TTL в пакете, тоесть трэйс замедляется из-за ожидания таймаутов когда через него проходит, как это побороть?

странно, вроде как нет такой проблемы (а пакеты с какого интерфейса приходят ?):
-----
X:\tracert 195.34.32.10

Трассировка маршрута к ns.mtu.ru [195.34.32.10]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 10.10.10.10
2 22 ms 22 ms 23 ms 10.6.255.2
3 24 ms 22 ms 22 ms 6.spdop.mtu.ru [195.34.61.6]
4 25 ms 23 ms 24 ms spd-gw-GE-0-1-20.mtu.ru [195.34.53.97]
5 24 ms 22 ms 22 ms HGW2GE1-1-3.ssilan.mtu.ru [195.34.52.8]
6 24 ms 26 ms 25 ms ns.mtu.ru [195.34.32.10]

Трассировка завершена.
-----
Т.е. модем на первом hop'е без проблем ответил на пакет с TTL=1.. Это точно модем не отвечает - в системе ничего не фильтрует пакеты от модема ? Так же лучше проверить что default для private и public интерфейсов стоит в "accept" (если для любого из этих интерфейсов поставить "deny" - дальше адреса модема tracert не уйдёт). Так же если всё же хочется поставить на public интерфейсе default: deny, но чтобы tracert работал (на private всё равно лучше поставить default: accept), то создаём два правила и всё работает:
---
RuleID: 1
I/F: ALL
Direction: Outgoing
Rule: Accept
In I/F: ALL
Option: 1.Protocol eq ICMP, 2.ICMP Type Echo Request

RuleID: 2
I/F: ALL
Direction: Incoming
Rule: Accept
Option: 1.Protocol eq ICMP, 2.ICMP Type 11
---
первое правило разрешит отсылку эхо-запроса, второе - разрешит приём icmp time exceeded message от очередного hop'а.

Если причина будет найдена - результаты лучше сюда

P.S. как сейчас подтвердила тех. поддержка - копать нужно в сторону запретов для интерфейсов, конкретно следует проверить 310 правило (оно работает если security = middle или high:

Да фаервол выключен ...
$get ipf global

Security Level : None DMZ Default Action : Accept
Public Default Action : Accept Private Default Action : Accept

фаерволы ничего не фильтруют на компе
может конфиг можно в файлике там чей-нибудь залить и попробовать?

А трассируем интернетовский адрес из локальной сети (с private интерфейса) ? traceroute из модема проходит ?
дефолтовый конфиг - reboot clean. правда сбрасывает вообще всё
У меня нормально МТУ'шный DNS трассируется (точнее, нормально принимает от модема ответ при ttl=1) при стандартных настройказ (reboot clean) плюс исправленные:
тип соединения: PPPoE LLC
bridge и igmp: disable,
default route: enable
PPP: name/password - которые присвоили
NAPT: ppp-0 интерфейс, локальные IP с 0.0.0.0 по 255.255.255.255, удалённые - 0.0.0.0
security: high, default: public - accept, DMZ: deny, private: accept.

Но в данном случае security стоит в none, от правил не должно зависеть.. а другие icmp-пакеты ходят (ping тот же) ? А результаты "get fwl global" ?

За модемом трэйс идёт нармально ...
с такой же проблемой человек столкнулся на форуме ixbt в теме про стрим, только модем какой у него я незнаю
$get fwl global

Attack Protection : Disable Max Half Open TCP Conn(%) : 70
DOS Protection : Disable Max ICMP Conn(%) : 25
Blacklist Status : Disable Max Single Host Conn(%) : 75
Blacklist Period(min) : 10 Min Log Time(min) : 30
Log Destination : Trace
E-Mail 1 : -
E-Mail 2 : -
E-Mail 3 : -

сделал reboot clean
теперь LAN не горит и не пингуется модем
чего делать та??

хыхы
ресет помог %)
но таже херня
у меня по дефолту бридж запрещён только логин с паролем ввёл и VLC
воопще я модем покупал 300G а он оказался 500G по прошивке

говорил же - команда сбрасывает все.
Лампочки Ethernet и ADSL на самом модеме горят ? если нет - выключаем из розетки модем секунд на 20-30, включаем, ждём пока загорятся (ADSL может начать мигать, т.к. корректные VPI/VCI ещё не прописаны) лампочки, далее идём в настройки сетевушки (у компьютера), ставим или автоматически от dhcp получать адрес или руками забиваем адрес 10.1.1.10 например (любой отличный от 10.1.1.1 с учётом маски) и маску 255.0.0.0, шлюзом и DNS-сервером так же ставим 10.1.1.1, далее в браузер, открывает 10.1.1.1 (модем), имя и пароль стандартные (admin/admin), открываем home -> quick configuration, ставим:

Connection Type - PPPoE LLC
VPI - 1
VCI - 50
Переключатель Bridge ставим в disable
Переключатель IGMP ставим в disable
Default Route - в enable
указываем username и password которые "точка" выдала
больше ничего не меняем, жмём submit
Services -> IP Filter -> Private Default Action ставим в Accept
Services -> IP Filter -> Public Default Action ставим в Accept
больше ничего тут не меняем, жмём submit
Admin->Commit&Reboot->Commit

далее снова в Home идём и смотрим что ppp-0 весело светится зелёным. Если не светится - что-то не то настроили, чтобы понять что - идём в Admin -> Alarm и наблюдаем что там не так
Если link up ("зелёная лампочка" на ppp-0), то пробуем трассировку..

что ты говориш ......
если незнаеш чего ответить не отвечай лучше %)
это всё я знаю