Shkiper
Еще раз спасибо за помощь!

Вот все, что относится к IPSec и l2tp в логах:

Info CONN
600001 l2tp-lan_allow UDP l2tp-serv
lan 10.0.1.4
192.168.0.3 58073
53 conn_open
conn=open

Warning IP_PROTO
7000014 TTLOnLowMulticast UDP l2tp-serv 10.0.1.4
224.0.0.252 52012
5355 ttl_low
drop
ttl=1 ttlmin=3 ipdatalen=32 udptotlen=32

Info CONN
600004 lan-l2tp_NAT UDP l2tp-serv
BeeLineVpn 10.0.1.4
255.255.255.255 68
67 conn_open_natsat
conn=open connnewsrcip=92.242.180.111 connnewsrcport=8964 connnewdestip=255.255.255.255 connnewdestport=67

Warning RULE
6000051 Default_Rule IGMP l2tp-serv 10.0.1.4
224.0.0.22 ruleset_drop_packet
drop
iphdrlen=24 ipdatalen=24 type=34 maxresp=0 groupaddr=0.0.0.2

Notice USERAUTH
3700102 10.0.1.4 user_login
idle_timeout=1800 ...

Notice L2TP
2800016 l2tp_session_up
tunnelid=1 sessionid=1 user=User1 auth=MS-CHAP mppe=Stateless_RC4-128 assigned_ip=10.0.1.4

Notice L2TP
2800015 l2tp_session_request
tunnelid=1

Notice L2TP
2800018 l2tpclient_tunnel_up
tunnelid=1 iface=l2tp-serv remotegw=83.49.145.99

2016-10-25
08:58:57 Info IPSEC
1800907 ipsec_sa_created
ipsec_if=l2tp-ipsec-tunnel local_ip=92.242.180.111 remote_ip=83.49.145.99 ...

Дропов ни по интересующим IP, ни по именам интерфейсов нет.
Когда пытаюсь пинговать что-то во внутренней сети, то появляется в начале

Info CONN
600001 l2tp-lan_allow UDP l2tp-serv
lan 10.0.1.4
192.168.0.3 58073
53 conn_open
conn=open

И все.

WireShark`ом сейчас посмотрел со стороны клиента - в логах так же тишина.
Ни ошибок, ни чего-то экстраординарного нет.
Просто обмен приветствиями и не более.

это означает, что клиент пытается обратится к днс серверу через впн интерфейс и поднимется соединение на дфл (и соответственно оно должно отображаться в статус/роутес), значит там все в порядке от клиента соединения поднимаются
отфильтруйте лог при пинге по источнику (или по назначению, без разницы), если в логе чисто гляньте соединения
(т.к. на клиенте не настроена маршрутизация, то при поднятии vpn соединения, весь трафик будет пытаться идти через впн, на клиенте пропадет интернет и весь сетевой доступ, останется трафик настроенный на дфл, на данном этапе это нормально)
со стороны клиента и на компе лок сети, который пингуете, проверьте состояние соединения, через netstat
если дропов нет, должны устанавливаться соединения, если соединений нет, то значит пакеты не доходят, ну у вас с подключением все нормально, значит надо отслеживать состояние соединений на всех узлах (файервол мож где, касперыч)

не вижу в вашей схеме 192.168.0.3, локалка вроде 192.168.1.0

в первом сообщении увидел "Ресурс внутри локальной сети за DFL`кой с ip 192.168.0.3", но дальше в скринах (в маршрутах) и в схеме, этой сети нет, а в логах на нее запросы идут, непонятно, или напутали где-то, или еще раз схему поясните

Тут все ок. Я делал полный сброс устройства и перенастройку с нуля. Теперь локалку настроил на сетке 192.168.0.0/24.
На картинке сеть 192.168.1.0/24 надо читать как 192.168.0.0/24.


Да, кроме сетевой папки на 192.168.0.3 есть DNS-сервер через который внутри сети все имена разрешаются.


Сделал.
Все, что относится к подсети 10.0.1.0/29 и IP 83.49.145.99, l2tp, ipsec - выложено выше.
Более в логах нет ничего.
Кроме того при пинге с l2tp-клиента имя машины 192.168.0.3 не разрешается.


Не уверен, но по-моему не пропадает, хотя галка в настройках VPN "использовать шлюз по умолчанию" установлена.
Проверить смогу только вечером.


Соединения кого с кем?
Я смотрел при подключенном l2tp-клиенте и при пинге 192.168.0.3 что-то типа 10.0.1.4 - 192.168.0.х и ничего подобного в коннекшанах не увидел.
Вечером посмотрю при пинге 192.168.0.1, чей IP висит на lan-интерфейсе.


Ок, сделаю.


На l2tp-клиенте даже виндового антивируснка нет. Если пробовать подключиться с него из локалки к 192.168.0.3 то все ок.
На 192.168.0.3 доступ и пинг разрешен на all-nets. Файрволл там то же виндовый штатный, хотя стоит Nod32.
Попробую его отключить и посмотреть изменится ли что-то.

По пунктам.

1. netstat -a на l2tp-клиенте, подключенном к DFL`ке:

TCP 0.0.0.0:135 Pappet:0 LISTENING
TCP 0.0.0.0:445 Pappet:0 LISTENING
TCP 0.0.0.0:49152 Pappet:0 LISTENING
TCP 0.0.0.0:49153 Pappet:0 LISTENING
TCP 0.0.0.0:49154 Pappet:0 LISTENING
TCP 0.0.0.0:49155 Pappet:0 LISTENING
TCP 0.0.0.0:49158 Pappet:0 LISTENING
TCP 10.0.1.4:139 Pappet:0 LISTENING
TCP 192.168.10.12:139 Pappet:0 LISTENING
TCP [::]:135 Pappet:0 LISTENING
TCP [::]:445 Pappet:0 LISTENING
TCP [::]:49152 Pappet:0 LISTENING
TCP [::]:49153 Pappet:0 LISTENING
TCP [::]:49154 Pappet:0 LISTENING
TCP [::]:49155 Pappet:0 LISTENING
TCP [::]:49158 Pappet:0 LISTENING
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1701 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:3702 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:5355 *:*
UDP 0.0.0.0:61450 *:*
UDP 10.0.1.4:137 *:*
UDP 10.0.1.4:138 *:*
UDP 10.0.1.4:1900 *:*
UDP 10.0.1.4:59670 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:59672 *:*
UDP 192.168.10.12:137 *:*
UDP 192.168.10.12:138 *:*
UDP 192.168.10.12:1900 *:*
UDP 192.168.10.12:2177 *:*
UDP 192.168.10.12:59671 *:*
UDP [::]:500

Интернет на клиенте есть, странички открываются, в коннекшанах я вижу появление адресов и открытие портов.

2. Пингаем 192.168.0.1(lan_ip на DFL`ке):
PING ICMP l2tp-serv:10.0.1.4:1 core:192.168.0.1:1 7
UDP UDP l2tp-serv:10.0.1.4:62854 lan:192.168.0.3:53 98
UDP UDP l2tp-serv:10.0.1.4:138 BeeLineVpn:255.255.255.255:138 102
UDP UDP l2tp-serv:10.0.1.4:137 BeeLineVpn:255.255.255.255:137 96
FIN_RCVD TCP l2tp-serv:10.0.1.4:49260 BeeLineVpn:97.9.9.9:80 43
UDP UDP l2tp-serv:10.0.1.4:57393 lan:192.168.0.3:53 94
FIN_RCVD TCP l2tp-serv:10.0.1.4:49261 BeeLineVpn:97.9.9.9:80 47
UDP UDP l2tp-serv:10.0.1.4:49996 lan:192.168.0.3:53 98
UDP UDP l2tp-serv:10.0.1.4:52096 lan:192.168.0.3:53 92
UDP UDP l2tp-serv:10.0.1.4:52320 lan:192.168.0.3:53 99
UDP UDP l2tp-serv:10.0.1.4:68 BeeLineVpn:255.255.255.255:67 94
UDP UDP l2tp-serv:10.0.1.4:55235 lan:192.168.0.3:53 93
UDP UDP l2tp-serv:10.0.1.4:57492 lan:192.168.0.3:53 93
UDP UDP l2tp-serv:10.0.1.4:53978 lan:192.168.0.3:53 93
RAWIP IPv6 l2tp-serv:10.0.1.4:0 BeeLineVpn:97.9.9.9:0 106

Пингаем 192.168.0.3:
RAWIP IPv6 l2tp-serv:10.0.1.4:0 BeeLineVpn:97.9.9.9:0 55
UDP UDP l2tp-serv:10.0.1.4:62854 lan:192.168.0.3:53 47
UDP UDP l2tp-serv:10.0.1.4:138 BeeLineVpn:255.255.255.255:138 51
UDP UDP l2tp-serv:10.0.1.4:137 BeeLineVpn:255.255.255.255:137 45
UDP UDP l2tp-serv:10.0.1.4:57492 lan:192.168.0.3:53 42
PING ICMP l2tp-serv:10.0.1.4:1 lan:192.168.0.3:1 8
UDP UDP l2tp-serv:10.0.1.4:57393 lan:192.168.0.3:53 43
UDP UDP l2tp-serv:10.0.1.4:53978 lan:192.168.0.3:53 42
UDP UDP l2tp-serv:10.0.1.4:49996 lan:192.168.0.3:53 47
UDP UDP l2tp-serv:10.0.1.4:52096 lan:192.168.0.3:53 41
UDP UDP l2tp-serv:10.0.1.4:52320 lan:192.168.0.3:53 48
UDP UDP l2tp-serv:10.0.1.4:68 BeeLineVpn:255.255.255.255:67 43
UDP UDP l2tp-serv:10.0.1.4:55235 lan:192.168.0.3:53 42

Пытаюсь зайти на сетевую папку через проводник:
UDP UDP l2tp-serv:10.0.1.4:51443 lan:192.168.0.3:53 43
UDP UDP l2tp-serv:10.0.1.4:55931 lan:192.168.0.3:53 45
UDP UDP l2tp-serv:10.0.1.4:137 BeeLineVpn:255.255.255.255:137 127
SYNACK_S TCP l2tp-serv:10.0.1.4:49267 lan:192.168.0.3:139 57
UDP UDP l2tp-serv:10.0.1.4:138 BeeLineVpn:255.255.255.255:138 48
UDP UDP l2tp-serv:10.0.1.4:68 BeeLineVpn:255.255.255.255:67 40
UDP UDP l2tp-serv:10.0.1.4:53031 lan:192.168.0.3:53 38
UDP UDP l2tp-serv:10.0.1.4:54623 lan:192.168.0.3:53 77
UDP UDP l2tp-serv:10.0.1.4:57616 lan:192.168.0.3:53 39
RAWIP IPv6 l2tp-serv:10.0.1.4:0 BeeLineVpn:97.9.9.9:0 53
UDP UDP l2tp-serv:10.0.1.4:50215 lan:192.168.0.3:53 42
UDP UDP l2tp-serv:10.0.1.4:61554 lan:192.168.0.3:53 42
SYNACK_S TCP l2tp-serv:10.0.1.4:49263 lan:192.168.0.3:445 56
SYNACK_S TCP l2tp-serv:10.0.1.4:49264 lan:192.168.0.3:445 57

3. Антивирус отключал, в виндовом файрволле правила проверил - результат отсутствует.
Можно конечно попробовать его отключить, но в современных форточках он даже в отключенном состоянии блокирует соединения.
Хотя я так понимаю, если у нас в локальной сети все доступно, то все должно быть доступно и через l2tp-сервер.

Самое интересное, наверное - если смотреть wireshark`ом на стороне пинтуемого ресурса в локальной сети, то я вижу и эхо-запросы, и попытки акторизации при обращении к сетевой папке, и более того - ответ уходит в верном направлении IP источника.
Их этого делаю вывод, что все-таки что-то не так с маршрутами на DFL`ке, так как пакеты теряются после него.

Вопрос вот в чем:
Как DFL`ке указать куда отправлять ответ на запрос?
Гейт при создании l2tp-сервера мы не указываем, маршрут динамический для него есть.