vgo писал(а):
Да Вам во все стороны копать уже надо. Хотя для L2TP отличия внешнего подключения как бы имеют меньше значения, чем для IPSEC. А может и не меньше.
1. В старых логах есть сообщение, что peer помер. С этим надо разобраться или отключить Dead peer detection. И закрытие ipsec туннеля. Как же оно пойдет в L2TP
2. Мне кажется, не надо проксить ARP никуда, кроме lan. Я так не делаю
3. Правила нужны. То, что сервер IPSEC "before rules', я понимаю так: пакеты извне попадают в сервер IPSEC без проверки. Но это не значит, что пакеты, выходящие из IPSEC сервера, не проверяются. Но ошибки настройки правил можно и нужно ловить по логам.
4. Гммм... может быть, как раз стоит отключить "сервер до правил" и смотреть по логам, какие пакеты задерживаются правилами. Пакеты могут оказаться совершенно не такими, как Вы думаете.
А в общем, я бился об аналогичную задачу и большого успеха не достиг (( но тому были еще дополнительные причины, а потом оказалось, что этот успех мне не так уж и нужен. Вообще, разрабы, разделив L2TP и IPSEC, заложили IMHO изрядную мину. ((
Кстати, я так и не понял, каким клиентом Вы подключаетесь к DFL. Да, а вот PPTP в этой ситуации настраивается проще. Если, конечно, провайдер не блокирует GRE.
1. Сейчас все нормально (сообщений, что peer помер НЕТ)
2. Сделал ARP lan с нулевым MAC - НЕ помогло
3. На работающем DFL отключил все настроенные правила - Подключился без проблем. Значит правила на подключение не влияют.
4. Стандартный VPN с Android