L2TP by s PPTP helperem nemělo mít nic společného. Má stačit přesměrovat jen ten UDP port 1701. Co psal sub_zero o UDP/500, UDP/4500 a ESP, to se týká případu, že to ještě balím do IPsecu, takže používám L2TP/IPsec a ne jen holé L2TP (kterému stačí to UDP/1701). A při použií LT2TP/IPsec bych spíše neopak port UDP/1701 blokovat, protože by neměl být vidět a schován uvnitř ESP, to platí pro firewall po cestě, ten koncový router, co ukončuje L2TP/IPsec, už UDP/1701 vidí, až to IPsec vrstva vybalí.
Opakující se hláška "first L2TP UDP packed recived from XXX" znamená, že k L2TP serveur to dorazilo, ale klient nedostla odpověď. Typický případ je, že MKčko má bug v UDP komunikaci, kdy odpovídá na příchozí UDP provoz ne z IPčka na kteoru paket dorazil, ale z primárního IPčka rozhranní, kterým odchází odpověď. A to samozřejmě kleint nesežere (pokud to kněmu vůbec dorazí). Takže doporučuji vzít torch, pustit ho, nahodit L2TP klienta a podivat se, zda ti náhodou nepříchází pakety na port 1701 na jednu IP toho MKčka a on radostně odpovídá zpět z portu 1701, ale z jiné IP. Pokud ano, tak buď je třeba upravit ten NAT u ISPíka, aby směroval na tu primární IP a nebo na L2TP serveru jde na to použít SRCNAT a vrátit to tka na tu správnou IP.
Jinak doufám, že když už používám holé L2TP, že se na to dívám jako na holý tunel a ne jako na zabezpčené VPNko. :-)
