SA> # tcpdump -npi enc0 SA> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode SA> listening on enc0, link-type ENC (OpenBSD encapsulated IP), capture size 262144 SA> bytes SA> 21:13:26.766540 (authentic,confidential): SPI 0x683b1cc7: IP SA> 85.113.221.175.1701> 2.94.173.77.1701: l2tp:[S](1/1)Ns=264,Nr=0 {compressed
Для меня эти дампы бесполезны, потому что я не знаю, с какой стороны какие реальные IP у тебя, так что смотри сам.
Hо уже подозрительно, что через внешний интерфейс с реальными IP на сервере у тебя трафик идёт только в одну сторону и если это только входящие пакеты, то виноват сервер, раз оно только что зашифрованные пакеты сам же и не отправляет - может быть, твой файрвол на сервере их гробит.
Второй подозрительный момент - в виндовом скриншоте Wireshark, почему там серый адрес 192.168.42.134? Если клиентский трафик проходит через NAT, то ESP-пакетов быть не должно вообще, а на этапе согласования IPSEC должна включаться UDP-инкапсуляция и вместо ESP-пакетов туннельный трафик должен ходить в UDP-пакетах, а если при наличии NAT он не детектируется, то есть не срабатывает NAT-T, то в этом вся и проблема.
Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.3 (FreeBSD) * Origin: RDTC JSC (2:5006/1@fidonet)
