protocol 47 unreachable

Может блокируется где нибудь у прова?

Давай разберемся. YYY.YYY.YYY.YYY - это адрес, полученный от провайдера по VPN или у тебя в инете этот адрес и провайдер прокидывает его по DNAT на твою машину?

> Может блокируется где нибудь у прова?

Судя по журналу gre-пакет до меня доходит нормально (первая строка), и именно моя машина генерирует icmp-ответ о недоступности gre.

> Давай разберемся. YYY.YYY.YYY.YYY - это адрес, полученный от провайдера по VPN

Да. Этот реальный IP-шник на моем конце VPN-тунеля между мной и провом.

> или у тебя в инете этот адрес и провайдер прокидывает его по DNAT на твою машину?

Нет. Мой пакеты просто маршрутизируются через VPN-сервер провайдера транзитом без какой либо модификации. Т.е. никакого SNAT/DNAT провайдер с моими пакетами не делает.

>Да. Этот реальный IP-шник на моем конце VPN-тунеля между мной и провом.

Тот ip-шник, который ты видишь у себя после подключения, насколько я понимаю технологию vpn, реальным быть не может (даже если он действительно реальный по циферкам). Его попросту не видно извне без специального шаманства. Скорее всего у твоего провайдера поднят NAT, что исключает всякую возможность подключиться к твоей машине извне.

P.S. А что, она пингуется?

> Тот ip-шник, который ты видишь у себя после подключения, насколько я понимаю технологию vpn, реальным быть не может

С чего это? По моему если в названии технологии упоминается слово private это еще не значит что там нет Инетовских адресов и моя машина будет недоступна для всего мира :)))

> Его попросту не видно извне без специального шаманства. Скорее всего у твоего провайдера поднят NAT, что исключает всякую возможность подключиться к твоей машине извне.

Ошибаешся. Видно, и без шаманства. И подключиться можно. И NAT у прова не поднят - сам проверял. И к моей машине можно извне подключится - на ней несколько лет уже почтовик пашет, принимающий почту для нашей организации со всего мира.

> P.S. А что, она пингуется?

И не только пингуется. Отвечает по SMTP без проблем. Одно время на ней даже первичный DNS с нашей зоной стоял.

>И к моей машине можно извне подключится - на ней несколько лет уже почтовик пашет, принимающий почту для нашей организации со всего мира

Это не показатель.

Ладно. Предположим, что извне ее видно. Провайдер протокол пропускает? Порты у него на destination не закрыты на твой vpn?

> Ладно. Предположим, что извне ее видно. Провайдер протокол пропускает? Порты у него на destination не закрыты на твой vpn?

Нет. Провайдер все пропускает прозрачно. Скажу даже больше - я сам себе провайдер, поскольку именно я администрирую этот VPN-сервер, через который выходит в Инет мой офисный маршрутизатор. И я уверен, что на нем ничего не SNAT/DNAT-ится, IP forward в чистом виде.

Есть подозрения что дело в старом ядре на моем офисном маршрутизаторе - там слака 8.1 с ядром 2.4.18. В ближайшем будущем планируем переезд на 10-ку, проверю, измениться что или нет. Сейчас пока обойдусь использованием OpenVPN.