Другого я и не ожидал. Жалко конечно.
Но выход есть. Их несколько:
1. Использовать L2TP-Server без IPSec (это первое, что приходит на ум, но нужно на компах ковырять реестр и отключать IPSec в vpn-подключениях, что как то не очень).
2. Договориться с провайдером и вместо L2TP сделать себе например статический адрес. (можно, да неохота)
3. Сменить оборудование (можно, но не спортивно)
4. А вот тут самое интересное. Своими силами сделать, чтобы на DFL на котором поднимается VPN интернет приходил не через L2TP.
Последний пункт рассмотрим подробнее.
Копал в сторону прозрачного режима - не подошло, т.к. в этом режиме коммутируются маршруты только физических интерфейсов (+vlan).
С чего начал - перед DFL-860 поставил DFL-210 и поднял на нем инет через L2TP от провайдера. На DFL-860 настроил типа статики, адрес wan совпадает с внешним на DFL-210. Настроил правила всякие... Норм в инет выхожу с DFL-860.
Теперь хочу прозрачно попадать с наружи на DFL-860. С помощью "Routing Rules" пробросил все протоколы что приходят на внешку DFL-210 в ее локалку, которая подключена к WAN DFL-860. Дополнительно на DFL-210 поотключал всякие "IPsec Before Rules", "L2TP Before Rules" и "PPTP Before Rules". И все... если смотреть настройки DFL-860 - то выглядит как настоящая статика. И теперь L2TP-Server работает на этом провайдере и именно на DFL-860, т.к. он уже поднимается не на L2TP-Client, а просто на WAN.
Можно было еще заморочиться и все сделать на виртуальных маршрутизаторах (есть такая фича в DFL-860 на последних прошивках) и тогда бы DFL-210 не понадобился. Косяков пока не наблюдаю. VPN (pptp, l2tp) и тунели ipsec вроде пашут.
Я все это к тому, что безвыходных ситуаций не бывает...