День, добрый!
В общем по порядку:
Сервак win2008 внутри сети, шлюз FreeBSD и сквид
Роль Политики сети и доступа
И сервер терминалов
настроен ВПН pptp и l2tp
PPtp работает прекрасно пробросил порт 1723 и открыт GRE
для l2tp проброшен 1701udp/tcp 500udp и 4500udp (описывают что для работы необходим если ВПН находитсья за НАТом, по логам в действительности на это тпорт ходит) и кто-то пишет что 50 tcp/udp
и вот проблема никак не конектит...ошибка 809. на клиентской машине(win7) прописал ветку реестра

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]

"ProhibitIPSec"=dword:00000001

о чудо законектил НО на стадии проверки логина и пароля зависает и выдаетсья ошибка 628 тоесть как я понимаю по каким-то причинам он не проверяет логин и пасс
По локальной сети всё работает, если сервак вытаскивать напрямую на ружу (на отдельный ИП) всё работает но если через нат то касяки.
используетсья предварительный ключь, НЕ сертификаты

Уже кучу мануалов прочел, нигде доп инфы по этому поводу нет...
p.s когда вытаскиваешь наружу и допом ставишь фаирвол Kerio и открываешь (там можно службами открывать) L2tp таже херня, мол не пускает на сервак.. Прям думаетсья что вот еще чего то не хватает....
Может кто сталкивался...
ПРосьба работу PPTP не предлагать (так как GRE не везде открыт) а так же другие клиенты, Спасибо :)

miksoft,
как бы странно не звучало на шлюзе мониторил tcpdump (правдо при включенном файерволл)
а на сервере впн TcpView при конекте там и тд на впн сервере никаких вообще изменений в логах (подразумиваю что так и не доходит пакет до неё а на шлюзе как мы и говарили попвтка конекта и прохождения только по 3-м портам 1701 500 и 4500
к сожалению отключить файерволл нет возмождности в плане безопасности. я конечно подразумиваю что может правило какое блочит но на керио тоже недостаточно открыть эти порты и службу l2tp (тут он вообще не попадает на сервер) по логам керио обращений типо нет... как так получается непонятно... так и чувствую что-разгадка очень близка но пока как-то так....

Да, такое ощущение что до него даже не доходят пакеты.
В общем пришла идея по этому поводу :))
для авторизации нужен ipsec если как я говарил в начале его выключаешь то до сервера достучаться, но долго не мог понять как же у меня в локале перестал воркать l2tp и тут меня осенило )
включаю ipsec и всё ворк, но так с другой машины вообще через freeBSD не проходит... походу на ней нужно еще что-то открывать что бы пропускал ipsec так как когда выключаешь он пропускает но на серваке впн необходим для авторизации))) вот кажетсья нашел куда копать...если кто встречался может подскажит что еще открыть нужно :)