Здравствуйте, произвожу стандартную настройку сервера авторизации l2tp (компьютер (1)) на котором стоит файрвол (shorewall), который должен перенаправлять авторизовавшихся пользователей на сервер терминалов windows. Раньше проблем не было никаких, но возможно что-то упустил из виду так как давно не перенастраивал данный сервер. Стоит debian 7, есть два сетевых интерфейса eth0 инет eth1 локальная сеть. Пользователь успешно проходит авторизацию (ppp) и ему присваивается ip из локальной сети. Далее когда пользователь запускает соединение с сервером терминалов windows (другой компьютер (2)), соединение не устанавливается, пишет соединение закрыто. Tcpdump на компьютере (1) показывает что информация успешно пробрасывается, на компьютере (2) пишет что запрос на соединение приходит, так же на компьютере (1) tcpdump показывает что от сервера терминалов (компьютер (2)) приходит ответ:
ARP ......,Request who-has 10.IP.IP.240 (это IP клиента)
Соединение между клиентом и сервером терминалов не устанавливается.
Буду благодарен если подскажете на что обратить внимание, т.к. с таким еще не сталкивался, что ему не хватает ? )

п.с.
Просто маршрутизация настроена, пакеты до сервера терминалов доходят, вроде сам сервер терминалов пытается что-то узнать (ответить ?), а дальше тишина. Может пакеты авторизации на сервере терминалов при маршрутизации изменяются ? (что наврятли...), неужели у специалистов нет никаких мыслей ?

routing' ом я так понимаю занимается shorewall? Использую его так как в iptables могу что то упустить, а там все просто заблокировать всё разрешить только некоторые соединения ..
Настройки shorewall следующие:
interfaces:
lan eth1
net eth0
read ppp+

policy
all all DROP

rules
ACCEPT net:IP.IP.IP.IP fw udp 1701 1701 # соединение l2tp, присв IP локальной сети 10.IP.IP.240
ACCEPT road lan:10.IP.IP.216 tcp 3389 # 10.IP.IP.240 перенаправляю на сервер терминалов 10.IP.IP.216 (вот и весь роутинг)

zones
fw firewall
lan ipv4
net ipv4
road ipv4

на сервере включена маршрутизация? Раньше (год назад) всего этого было достаточно, теперь нет.
попробую iptables, но хотелось через shorewall
логи скину чуть позже, спасибо за помощь

Надо было добавить маскарадинг
В файл masq
ppp+,eth1- локальная сеть