Господа, бьюсь уже 3-юю неделю.
Суть проблемы:
есть предприятие, к которому нужно коннектиться по VPN+RDP.
схема:
Интернет -> FreeBSD 10.2 (Шлюз, Sendmail) -> LAN предприятия -> Win2k3 (PPTP+DHCP+RDP)
На данный момент стоит фря 8.2, на ней, вышеуказанная схема, работает через IPFW.

Стала задача поставить новый/более "мощный" в смысле конфигурации сервер, на который накатил FreeBSD 10.2, поднял всё необходимое, за исключением возможности подключения к LAN из вне.

Первую неделю воевал с IPFW+NAT - тишина.
########################################################
rc.conf
########################################################
#Внешний интерфейс
ifconfig_re0="inet 10.10.13.196 netmask 255.255.255.0"
#Локальный интерфейс
ifconfig_rl0="inet 192.168.1.110 netmask 255.255.255.0"
firewall_logif="YES"
defaultrouter="10.10.13.1"
sshd_enable="YES"

firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/ipfw.rules"
firewall_type="Open"
firewall_quiet="YES"
firewall_logging="NO"

natd_program="/sbin/natd"
natd_enable="YES"
natd_interface="re0"
natd_flags="-s -m -u -f /etc/natd.conf"
########################################################
########################################################
ipfw.rules
########################################################
#!/bin/sh

fwcmd="/sbin/ipfw"
outer_ip="10.10.13.196"
inner_ip="192.168.1.110"
inner_net="192.168.1.0/24"
nat_port="8668"
$fwcmd -f flush

# divert natd all via external iface
$fwcmd add 6 divert 8668 ip from any to any via re0
$fwcmd add 7 allow tcp from any to 10.10.13.196 3389 via any
$fwcmd add 7 deny tcp from any to any 3389 via re0

# loopback
$fwcmd add 8 allow tcp from any 1723 to any
$fwcmd add 8 allow gre from any to any
$fwcmd add 8 allow tcp from any to any 1723

# checkstate
$fwcmd add 1010 check-state

# skippers
$fwcmd add 1020 skipto 2000 all from any to any via re0
$fwcmd add 1030 skipto 3000 all from any to any via rl0

# re0 - divert incoming
$fwcmd add 2110 skipto 2900 all from any to $outer_ip in via re0
$fwcmd add 2150 allow tcp from any to $inner_net established in via re0

$fwcmd add 2152 allow udp from any 53 to $inner_net in via re0
$fwcmd add 2155 allow tcp from any 53 to $inner_net in via re0
$fwcmd add 2156 allow udp from any 42 to $inner_net in via re0

# re0 - divert outgoing
$fwcmd add 2200 skipto 2900 all from $outer_ip to any out via re0
$fwcmd add 2250 allow tcp from $outer_ip to any out via re0 established
$fwcmd add 2251 allow tcp from $outer_ip to any out via re0 setup

# re0 - local
$fwcmd add 2900 allow tcp from $outer_ip to any established via re0
$fwcmd add 2901 allow tcp from any to $outer_ip established via re0
$fwcmd add 2902 allow tcp from $outer_ip to any via re0 setup
$fwcmd add 2910 allow udp from $outer_ip to any out via re0 keep-state
$fwcmd add 2920 allow icmp from any to any via re0

# FORWARD ALL TO OUR PROXY
$fwcmd add 3490 skipto 3510 tcp from any to any in via rl0
$fwcmd add 3500 fwd 127.0.0.1,3128 tcp from $inner_net to any 80,81 in via rl0
$fwcmd add 3510 allow all from any to any via rl0
########################################################
########################################################
natd.conf
########################################################
redirect_proto gre 192.168.1.10
redirect_port tcp 192.168.1.10:1723 1723
redirect_port tcp 10.10.13.196:25 2525
########################################################
########################################################

--------------------------------------------------------
Вторую неделю боролся с PF
########################################################

rc.conf
########################################################
#Внешний интерфейс
ifconfig_re0="inet 10.10.13.196 netmask 255.255.255.0"
#Локальный интерфейс
ifconfig_rl0="inet 192.168.1.110 netmask 255.255.255.0"
firewall_logif="YES"
defaultrouter="10.10.13.1"
sshd_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
########################################################
########################################################
pf.conf
########################################################
ext_if="re0"
int_if="rl0"
lan="192.168.1.0/24"
ext_ip="10.10.13.196"
tcp_services="{ 22, 25, 80, 110, 443, 8080, 10000, 1723, 9090, 5222, 5223, 7777, 7443, 7070, 1194, 3389 }"
udp_services="{ 53, 514 }"
table <blacklist> persist file "/etc/blacklist.ip"
set skip on lo0
set loginterface $ext_if
set block-policy return
scrub in all
nat on $ext_if from !($ext_if) -> ($ext_if:0)

nat on $ext_if inet proto tcp from  $lan to any port $tcp_services -> $ext_if
nat on $ext_if inet proto udp  from $lan to any port $udp_services -> $ext_if
nat on $ext_if inet proto icmp  from $lan to any  -> $ext_if

rdr on $ext_if proto tcp from any to any port 3389 -> 192.168.1.10
rdr on $ext_if proto tcp from any to any port 1723 -> 192.168.1.10
rdr on $ext_if proto gre -> 192.168.1.10

no nat on $ext_if proto gre all
no nat on $ext_if proto tcp from any to any port = 1723
no nat on $ext_if proto tcp from any port = 1723 to any

pass quick on $ext_if inet proto tcp from any to any port 1723
pass quick on $ext_if inet proto tcp from any port 1723 to any
pass quick inet proto gre to any keep state
pass proto 47 all keep state

pass in on $ext_if proto tcp from any to $ext_if port $tcp_services flags S/SA keep state
pass in on $ext_if proto tcp from any to $ext_if port $udp_services keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto {tcp, udp, icmp } all keep state

pass on $int_if all
########################################################

Реакции тоже ни какой - нет подключения и хоть ты кол на голове чеши, но фря не пробрасывает в сеть PPTP соединение.
Помогите разобраться.