>>А где пропуск протокола GRE
>>оставь одно правило и смотри логи
>>pass all log
>>например
>
>а что обязательно заморачиваться на гре-протоколе? у меня mpd+pf и без этого
>работал. в правилах ната я бы написал какие подсети натить о
>внешнюю локалку rl0(если для всех остальных данный сервак не является шлюзом
>по-умолчанию), а все остальное - заворачивать на ng1. а потом уже
>фильтрами поэтапно пропускать/отсеивать нужное/ненужное попробуйте натить пакеты не из локальной сети ($int_if:network), а из ng1. после подключения по впн ходить клиенты в интернет будут через впн соединение, соответственно и пакеты будут приходить оттуда. натить гре протокол не обязательно, у вас ведь пользователи не собираются устанавливать впн соединения с внешним миром. да и где-то на опеннете видел статью, что пф не правильно это делает и натить гре надо через ipfw и natd