[freebsd] l2tp за NAT'ом (без IPSEC)

[roman]

On 12.04.17 11:01, skeletor wrote:
>
> 12.04.17 03:38, Irina Liakh пишет:
>> Добрый день всем!
>>
>> Помогите, пожалуйста, разобраться, или подскажите, если это всем давно
>> известно)
>>
>> Есть mpd, настроен как клиент, тип линка - l2tp. IPSEC не задействован.
>> Машина находится в LAN и NAT'ится ближайшим хопом - сервером, имеющим 
>> выход
>> к VPN-серверу.
>> Туннель поднимается, в логах все ок. Но по туннелю не ходят TCP и UDP
>> (пинги ходят).  При попытке установить TCP-соединение с этой машины,
>> tcpdump показывает исходящий SYN, входящий SYN ACK, но исходящего ACK 
>> нету,
>> как будто не воспринимается SYN ACK. Через время повторно уходит SYN 
>> и т.д.
>> С UDP похожая ситуация. Например, если запустить команду "host ...",
>> tcpdump показывает исходящие DNS-запросы, приходящие DNS-ответы,
>> но команда выдает:
>>
>> # host google.com 8.8.8.8
>> ;; connection timed out; no servers could be reached
>>
>> В качестве NAT'а пробовались pf и ipfw, результат одинаковый.
>> Если подключить машину не через NAT, то все работает.
>> Система FreeBSD 10.3-RELEASE-p11 (пробовалась и 11.0), на сервере с 
>> NAT'ом -
>> FreeBSD 11.0.
>>
>> Почему туннель не работает через NAT?
>> _______________________________________________
>
> Если туннель поднимается, то НАТ здесь уже не причём. Все остальные 
> пакеты ходят уже внутри туннеля. И здесь, либо mtu, либо файервол 
> (может быть как на клиенте так и не серверной стороне).
Либо пакеты приходят на клиент "поврежденные" (crc), поэтому 
отбрасываются клиентом. Растут ли дропы на интерфейсе на клиенте?