Всем доброго времени суток. Столкнулся с проблемой, своими силами так и не решил.
Конфигурация состоит из dlink-dfl1600, на котором поднят L2TP/IPSEC сервер, IPSEC работает в транспортном режиме. К dfl1600 по внешнему WAN порту подключаются клиенты c windows операционок. Появилась необходимость подключать к dfl1600 dfl260e.
Тут dfl260e работает в качестве l2tp/ipsec клиента, сначала в траспортном режиме поднимает ipsec туннель с dfl1600, а потом через туннель устанавливает связь по l2tp подключению. После этого клиенты попадают в сеть за dfl1600.
Удобная конфигурация и не приходиться на каждое устройство создавать туннель lan to lan и настраивать маршрутизацию.
Вся эта конфигурация отлично работает, когда dfl260e получает внешний ip internet адрес на wan интерфей. Но не везде есть возможность выходить в интеренет на прямую, и вот на одном объекте выход через PPTP туннель. Все настраиваю по такой же схеме только с заменой внешнего адреса на внешний адрес полученный от PPTP сервера, туннель поднимается, а вот с сессией l2tp начинает происходить что-то не понятное на порт 1701 постоянный DROP, ip не получает.

Настройки:
Dfl1600
Wan 100.0.0.1(Static)
Lan 10.0.0.0
L2tp_Server_IP 100.0.0.1
L2tp_server_pool 172.18.0.0-172.18.2.0/24

Ipsec
Name:l2tp_ipsec
Local Network: wan_ip(100.0.0.1)
Remote Network: all-nets
Remote Endpoint: (None)
Encapsulation Mode: Transport

PPTP/L2TP Servers
Name: l2tp_tunnel
Inner Ip Addres: 172.18.2.1
Tunenel Protocol: L2tp
Outer interface Filter: l2tp_ipsec
Server ip: 100.0.0.1



Dfl260e
Wan 10.13.18.3
Lan 192.168.3.3
L2tp_ip адрес получает от dfl1600
Internet_beeline_ip: 100.0.0.2 (dhcp постоянный, получает от pptp клиента)

Ipsec
Name:l2tp_ipsec_to_dfl1600
Local Network: Internet_beeline_ip (100.0.0.2)
Remote Network: 100.0.0.1
Remote Endpoint: 100.0.0.1
Encapsulation Mode: Transport

PPTP/L2TP Clients
Name: l2tp_tunnel_to_dfl1600
Tunenel Protocol: L2tp

Remote Endpoint: 100.0.0.1









Логи
2012-01-15
17:30:30 Notice L2TP
2800010


l2tp_session_request

tunnelid=54343
2012-01-15
17:30:29 Warning RULE
6000051 Default_Rule TCP lan
192.168.3.3
10.0.1.6 52278
21 ruleset_drop_packet
drop
ipdatalen=32 tcphdrlen=32 syn=1
2012-01-15
17:30:28 Notice L2TP
2800018


l2tpclient_tunnel_up

tunnelid=54343 iface=l2tp_to_dfl1600 remotegw=100.0.0.1
2012-01-15
17:30:28 Notice L2TP
2800003


l2tpclient_init

iface=l2tp_to_dfl1600 remotegw=100.0.0.1
2012-01-15
17:30:27 Warning RULE
6000051 Default_Rule UDP l2tp_ipsec_to_dfl1600
100.0.0.1
100.0.0.2 1701
1701 ruleset_drop_packet
drop
ipdatalen=20 udptotlen=20
2012-01-15
17:30:27 Warning RULE
6000051 Default_Rule UDP l2tp_ipsec_to_dfl1600
100.0.0.1
100.0.0.2 1701
1701 ruleset_drop_packet
drop
ipdatalen=20 udptotlen=20
2012-01-15
17:30:27 Notice L2TP
2800008


l2tp_tunnel_closed

Это у вас лог на стороне клиента
А в это время на сервере что?

Но вообще, L2TP over IPsec не супер явная тема
Ввиду статических адресов, сделайте простой IPsec

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Это логи со стороны клиента, попробую отловить логи со стороны сервера. А что плохого в l2tp/ip сек? Работает на netdefend стабильно.
У нас где-то 200 объектов, не всегда удобно делать столько туннелей и маршрутов к этим сетям.

Чистый IPsec будет создавать меньше "накладных расходов", чем L2TP over IPsec ввиду одного уровня "заворачивания" пакетов вместо двух.
Хотя, динамичность конечно тоже прельщает...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Посмотрел, логи о l2tp соединение не появляются на dfl1600, там только об успешной ассоциации ipsec и висит SA. Все дропы идут на dfl 260e. Попробовал поднять ipsec lan to lan - норм работает. Может кто-нибудь посоветует что посмотреть еще? может MTU сильно увеличивается до такой степени или MSS поправит, но думаю в логах это было бы видно...