FreeBSD 10.2 + pf + VPN (GRE)

[kuksha]

Здравствуйте.
Есть серая сетка с NAT. Надо настроить доступ из неё наружу, к внешним сетям VPN (PPTP), более чем одному пользователю одновременно.
То, есть нужно пробросить протокол GRE и TCP/1723.
Раньше делал это на IPFW, но на новом шлюзе решили поставить PF - типа он гибче... Вышел облом...

Почитал - оказывается этот хвалёный PF не дружит с GRE и надо прикручивать сбоку костыль в виде IPFW с какими-то скриптами. Выглядит это просто жутко... - знал бы заранее - поставил бы IPFW и не парился... Одно надежду вселяет: все эти заметки старые, несколько лет им - может быть PF уже доработали и я топчусь на ровном месте??? FreeBSD 10.2

Может ли кто помочь?
Как пробросить VPN малой кровью?
(PPTP и L2TP до кучи)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

У вас нат-то какой, прозрачный? Если так, то ничего делать не надо...

[kuksha]

А поподробнее можно?
Что значит "ничего делать не надо"?
Что такое прозрачный фаервол - понятно, а что значит "прозрачный NAT" я не знаю...

NAT сделан средствами PF, по памяти так:

Код: Выделить всё

nat on $ext_if inet from $lannet to any -> ($ext_adr)

потом куча правил на разные порты и протоколы, в том числе вот такие:

Код: Выделить всё

pass quick on $ext_if inet proto tcp from any to any port 1723
pass quick on $ext_if inet proto tcp from any port 1723 to any
pass quick on $ext_if inet proto gre from any to any