
When connecting via XP L2TP client I'm able to establish the connection and ping the leftnexthop address, however I'm not able to get beyond this point on our network.&nbsp;&nbsp; If I stop iptables I'm able to gain access via the client to anywhere on the internal network.&nbsp; One then assumes I have a iptables rule dropping the packets at some point. Any help figuring out why the packets are being dropped would be appreciated.&nbsp; If you need more information then the iptables rules that follow, please let me know. Here is a chunk of the iptables ruleset I'm using:&nbsp;&nbsp;&nbsp; 

<br><br>#Allow VPN<br>iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT<br>iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT<br># ESP encryption and authentication<br>iptables -A INPUT -p 50 -i eth1 -j ACCEPT

<br>iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT<br>iptables -A INPUT -p udp -i eth1 --sport 1701 --dport 1701 -j ACCEPT<br>iptables -A OUTPUT -p udp -o eth1 --sport 1701 --dport 1701 -j ACCEPT<br>iptables -A INPUT -p udp -i eth1 --sport 4500 --dport 4500 -j ACCEPT

<br>iptables -A OUTPUT -p udp -o eth1 --sport 4500 --dport 4500 -j ACCEPT<br>iptables -A INPUT -p 17 -i eth1 -j ACCEPT<br>iptables -A OUTPUT -p 17 -o eth1 -j ACCEPT<br>iptables -A INPUT -p 51 -j ACCEPT<br>iptables -A OUTPUT -p 51 -j ACCEPT

<br>iptables -A INPUT -p 4 -j ACCEPT<br>iptables -A OUTPUT -p 4 -j ACCEPT<br><br>iptables -t mangle -A PREROUTING -i eth1 -p esp -j MARK --set-mark 1<br>iptables -A FORWARD -i eth1 -m mark --mark 1 -d <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 

10.0.0.0/8</a> -j ACCEPT<br><br>iptables -A INPUT -j ACCEPT -p all -s <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -i eth0<br>iptables -A OUTPUT -j ACCEPT -p all -d <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -o eth0<br><br>

# Allow masquerading<br>iptables -t nat -A POSTROUTING -o eth1 -s <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -d \! <a href="http://10.129.88.0/24"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.129.88.0/24</a> -j MASQUERADE<br>iptables -t nat -A POSTROUTING -o eth1 -s 

<a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -d \! <a href="http://10.205.0.0/24"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.205.0.0/24</a> -j MASQUERADE<br>#Prior to masquerading, the packets are routed via the filter table FORWARD chain.<br>iptables -A FORWARD -t filter -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

<br>iptables -A FORWARD -t filter -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br><br>Jason<br>