Исправление Pinkbyte, (текущая версия) :
uname -a
sysctl -a | grep conntrack_helper
TL;DR: для старых(<4.9) ядер - проверить что включен conntrack_helper. Для новых ядер - убедиться что он отключен и добавить правило в таблицу raw:
iptables -t raw -A PREROUTING -p tcp --dport 1723 -j CT --helper pptpДля профилактики - conntrack -F
Если не помогает - присылай дампы трафика. У меня на генте УМВР, но только в такой конфигурации как я описал выше(хотя ядер <4.9 у меня уже почти не осталось)
Update: не сразу увидел, что у тебя там DNAT. Такой конфигурации у меня нигде нет, да и дампы ты приложил - а я их не заметил, так что можешь смело проигнорировать данный пост.
Исправление Pinkbyte, :
uname -a
sysctl -a | grep conntrack_helper
TL;DR: для старых(<4.9) ядер - проверить что включен conntrack_helper. Для новых ядер - убедиться что он отключен и добавить правило в таблицу raw:
iptables -t raw -A PREROUTING -p tcp --dport 1723 -j CT --helper pptpДля профилактики - conntrack -F
Если не помогает - присылай дампы трафика. У меня на генте УМВР, но только в такой конфигурации как я описал выше(хотя ядер <4.9 у меня уже почти не осталось)
Исправление Pinkbyte, :
uname -a
sysctl -a | grep conntrack_helper
TL;DR: для старых(<4.9) ядер - проверить что включен conntrack_helper. Для новых ядер - убедиться что он отключен и добавить правило в таблицу raw:
iptables -t raw -A PREROUTING -p tcp --dport 1723 -j CT --helper pptpИсходная версия Pinkbyte, :
uname -a
sysctl -a | grep conntrack_helper
TL;DR: для старых(<4.9) ядер - проверить что включен conntrack_helper. Для новых ядер - добавить правило в таблицу raw:
iptables -t raw -A PREROUTING -p tcp --dport 1723 -j CT --helper pptp