set skip on $ipsec_if

зависит от того как он по дефолту стоит, возможно и так. Надо читать что там по дефолту стоит.

ТАКИ ДА! он включен по умолчанию. :)
server:
   val-permissive-mode: yes
и все заработало

re. Почтенные, а помогите разобраться. Собираюсь настраивать l2tp+ipsec и не понимаю логики. То есть вот например pptp через mpd - там все понятно, есть внешний адрес x.y.z.w и mpd на нем слушает на порту 1723. Конфиги же mpd для l2tp+ipsec почему-то настраивают его слушать на 1701 внутрь и увязывают это дело с адресом, на коем слушает racoon (или кто еще). Я совершенно в логику не врубаюсь: у меня было впечатление, что mpd снаружи внутрь принимает l2tp, а внутри с шифрованием ipsec разбирается, но, видимо, я неправ?

Вообще, может толковую  ссыль подкинете на логику организации всего этого дела? А то в интернетах ссылок есть, но как-то всё не слишком толковые...

неправ.

все наоборот.

внутри ipsec-трафика ходит l2tp

в котором внутри ppp

а наружи ходит порт 500?

у которого своё шифрование

нет

у ipsec есть два режима с точки зрения управления ключами (не с точки зрения какая часть шифруется)

первый это динамические ключи

второй это статические ключи

для огранизации динамического объема ключей как раз и используется протокол ISAKMP, udp/500, чтобы в зависимости от времени сессии переустанавливать ключи шифрования

в случае же статических ключей они просто устанавливаются на секьюрити-шлюзах с обоих сторон, никогда не меняются, и там нет никакого isakmp

таким образом ISAKMP это канал управления, а данные ходят в ipsec-инкапсуляции

внутри заяц, внутри утка, внутри яйцо. и так далее.

и если у меня динамические ключи, мне в добавок в 1701 надо еще и чтоб 500 сеть пропускала?

не совсем