gate, vpn-client, iptables

[Нуддщц]

Доброй день, уважаемые форумчане!
Я не то что новичек в *nix системах, но хочу обратиться с вопросом помощи в настройках одного доброго счастья...
Дано:
локалка 192.168.1.0/24
шлюз на Ubuntu 14.04 - eth0=em1 - белый ип, eth1=p1p1 - локалка
настроен squid + sams
настроен iptables для хождений по сети во внешку и назад (в приложении)
route:
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         xxxxxxxxxxxxxxx 0.0.0.0         UG    0      0        0 em1
localnet        *               255.255.255.252 U     0      0        0 em1
192.168.1.0     *               255.255.255.0   U     0      0        0 p1p1

стоит задача подключиться к удаленному vpn (как клиент) посредством обычного pptp с авторизацией
удаленный узел - Zyxel Giga - поднят обычный VPN-сервер.

Вопрос:
1. при настройке pptpd нет подключения, т.к. по видимому не пускает iptables, что-то надо направить или открыть порт 1723 (GRE)
2. если очистить правила iptables, то при подключении нет даже пинга из локалки - нужен как я понимаю настроить route?

Сижу, курю мануалы и не могу понять с чего начать-то все эту акцию..
если какие-то еще данные нужны - пишите, спрашивайте

[AnrDaemon]

Начинать надо с https://forum.ubuntu.ru/index.php?topic=107492.0 хотя бы для понимания того, как вообще это работает. (Я не призываю всё ломать и настраивать с нуля.)

P.S.
А правила

Код: [Выделить]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROPзаменить на

Код: [Выделить]

-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTи перенести в самое начало списка.

[Нуддщц]

Спасибо за пинок) с iptables разобрался, правила настроил. и кстати заодно настроил isc-dhcp-server с добавление резервирования по МАС адресам для отслеживания в sams'е.
Теперь туннель vpn поднимается, регистрацию проходит, но есть один момент странный - в качестве сервера vpn выступает Zyxel Giga и у него подключение сразу не поднимается, а через 3-4 минуты непрерывного достукивания (с чем связано не знаю).
Теперь проблема в том, чтоб направить трафик идущий в туннель с локалки.
предполагаю сделать route, но как?
#route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
default         clientvmb-mosko 0.0.0.0         UG    0      0        0 em1
10.0.0.1        *               255.255.255.255 UH    0      0        0 ppp0
localnet        *               255.255.255.252 U     0      0        0 em1
85.2.76.225     clientvmb-mosko 255.255.255.255 UGH   0      0        0 em1
192.168.1.0     *               255.255.255.0   U     0      0        0 p1p1

Подскажите что удалить, а что добавить.
По идее думаю route add -net 10.0.0.0 netmask 255.255.255.0 ppp0 или?

[AnrDaemon]

ip route replace 10.x.0.0/16 dev pppX

X только зафиксируйте. И пишите адрес  сети правильно. А то зароутите всю 10/8…

[Нуддщц]

Доковырял) и очень этому рад
надо было:
#Разрешить ходить трафику в туннеле
iptables -A FORWARD -i p1p1 -o ppp0 -j ACCEPT
и
route add -net 10.0.0.0 netmask 255.255.255.0 ppp0
дабы видеть сеть за роутером.

Благодарю всех.