Имею: DSL-G604T (прошивка от 14.10), Стрим Нео+, дома маленькую сетку (из трёх писюков и покета) и сетку на работе, куда можно подключиться, установив туннель (L2TP+ESP, терминируется на Lucent AP1000). В режиме Bridge на домашней машине (XP) всё заработало (поставил сертификаты, сделал коннекшн в винде - сразу завелось, вопросов нет)
Прописываю форвардинг L2TP и ESP на эту машину, поднимаю PPPoE- интернет появляется, однако же винда не может присоединиться к конторскому роутеру. Ладно, прописываю DMZ на эту же машинку - опять таки безрезультатно. Таймауты. Что крутить ?

PS вот ещё сегодня попробую это дело ethereal-ом посмотреть.

Расследование при помощи ethereal показало - ISAKMP проходит успешно, ключиками винда и удалённый сервер обмениваются. Однако же после этого винда начинает слать ESP-пакеты, и ничего не получает в ответ. Бриджом всё по прежнему работает.

Форвард IPSECL2TP на машину с виндой установлен.

Есть какие-нибудь идеи ?

Бывает, провайдер фильтрует ESP. Уточните.

может и бывает, но в bridge mode тот же провайдер ESP не фильтрует. Проверено электроникой.

А как он его может фильтровать если это чистый layer 2? В то время как ESP и иже с ним - layer 3 модели OSI.

Поведение провайдера меняется в зависимости от того, идёт ESP через NAT или нет ?

Дело, я думаю, все-таки в нате на самом маршрутизаторе. Я пользую чистый цисковский клиент - в нем есть поддержка хождения из-под нат. За m$ не поручусь - задач не было его ipsec/l2tp выпускать.

Видимо, да. один товарищ (не здесь и на другом железе) утверждает, что у него виндовый клиент отлично натится.

Я вообще по природе кошковод... Так вот у пикса (поделка имени кошки.ком) есть такая фича fixup - специализированный нат для "неровных" протоколов. Через него все прекрасно проходит и без поддержки ната в клиенте. l2tp только что попробовал через свой 604t - бу-е-е. Тоже не работает. WinXP SP2 lt2p/ipsec. isakmp пролазит наура. А вот с esp - попа. Снифер, к сожалению, за самим рутёром поставить не представляется возможности, ибо с провайдером не договоришься. Так что, увы и ах, посмотреть чего рутер в сторону vpn сервера разговаривает не представляется возможным.

А кошкин ipsec-клиент натится через G604T?

Пешком! В нем есть поддержка ната. В самом клиенте. Поднимает контрольку на 4500/udp или 10000/tcp и вуаля!