When connecting via XP L2TP client I'm able to establish the connection and ping the leftnexthop address, however I'm not able to get beyond this point on our network.   If I stop iptables I'm able to gain access via the client to anywhere on the internal network.  One then assumes I have a iptables rule dropping the packets at some point. Any help figuring out why the packets are being dropped would be appreciated.  If you need more information then the iptables rules that follow, please let me know. Here is a chunk of the iptables ruleset I'm using:    
<br><br>#Allow VPN<br>iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT<br>iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT<br># ESP encryption and authentication<br>iptables -A INPUT -p 50 -i eth1 -j ACCEPT
<br>iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT<br>iptables -A INPUT -p udp -i eth1 --sport 1701 --dport 1701 -j ACCEPT<br>iptables -A OUTPUT -p udp -o eth1 --sport 1701 --dport 1701 -j ACCEPT<br>iptables -A INPUT -p udp -i eth1 --sport 4500 --dport 4500 -j ACCEPT
<br>iptables -A OUTPUT -p udp -o eth1 --sport 4500 --dport 4500 -j ACCEPT<br>iptables -A INPUT -p 17 -i eth1 -j ACCEPT<br>iptables -A OUTPUT -p 17 -o eth1 -j ACCEPT<br>iptables -A INPUT -p 51 -j ACCEPT<br>iptables -A OUTPUT -p 51 -j ACCEPT
<br>iptables -A INPUT -p 4 -j ACCEPT<br>iptables -A OUTPUT -p 4 -j ACCEPT<br><br>iptables -t mangle -A PREROUTING -i eth1 -p esp -j MARK --set-mark 1<br>iptables -A FORWARD -i eth1 -m mark --mark 1 -d <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 
10.0.0.0/8</a> -j ACCEPT<br><br>iptables -A INPUT -j ACCEPT -p all -s <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -i eth0<br>iptables -A OUTPUT -j ACCEPT -p all -d <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -o eth0<br><br>
# Allow masquerading<br>iptables -t nat -A POSTROUTING -o eth1 -s <a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -d \! <a href="http://10.129.88.0/24"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.129.88.0/24</a> -j MASQUERADE<br>iptables -t nat -A POSTROUTING -o eth1 -s 
<a href="http://10.0.0.0/8"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.0/8</a> -d \! <a href="http://10.205.0.0/24"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.205.0.0/24</a> -j MASQUERADE<br>#Prior to masquerading, the packets are routed via the filter table FORWARD chain.<br>iptables -A FORWARD -t filter -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
<br>iptables -A FORWARD -t filter -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br><br>Jason<br>