Сетевые приключения

Как ранее упоминалось, домашний ADSL сгнил настолько что жить с ним в 21м веке стало мучительно тоскливо, и было решено заменить его на ethernet. Из эзернета подвернулся сугубо Атлант. Был еще какой-то домовый вариант, местечковый, но доблестные подключатели его отказывались являться позже 16:00, а в это время попасть на лестничные клетки других этажей не представлялось возможным. В итоге бравые родственники ипшников с рынка Ждановичи (тех, которые в 10 еще не открылись, а в 2 уже закрываются) были посланы к Аллаху, и выбор пал на Атлант.
Подключили шустро, бодро и аккуратно, отдельно жмурясь от счастья по поводу уже введенного в квартиру провода. А дальше начались приключения.
После вольных хлебов на Айчыне, на которой из коробки был белый ip, сидеть за глухим NAT’ом – как минимум неудобно. Суппорт браво рапортовал о невозможности за любые деньги и тут все заверте…
Есть же сервер в интернетах! Надо поднять на нем PPTP-сервер, подключиться с роутера, а входящие на сервер на определенные порты завернуть в образовавшийся туннель.
PPTP взвелся почти без приключений и дело оставалось сугубо за малым – настроить iptables. Куча статей в интернетах, рецепт с малыми вариациями один и тот же, и одинаково не работает.
Плюнув на попытки найти-таки серебряную пулю в куче копипасты решил все же включить голову, вооружился tcpdump и стал разбираться что куда идет и как работает.
Тут же стало очевидно, что пакеты в туннель заворачиваются, но ip источника в них остается прежним, и соответственно на другой стороне вместо того, чтобы отвечать в туннель, орут благим матом в чистый интернет.
Проверяю правила – во всех копипастах включают маскарад на исходящий интерфейс, на котором он в данном случае нафиг не впился. А вот на туннеле в самый раз. Source IP подменяется, все работает.
Короче мораль самому себе – ковыряясь с линуксами по элементарным вопросам, включать голову сразу и не доверять вслепую копипастам. Оно так быстрее выходит.

ЗЫ Про несекьюрность и корявость PPTP я в курсе, и про плюсы openVPN тоже. Но пока в т.з. входило решить вопрос малой кровью, поэтому использовалось то, во что роутер умеет из коробки. dd-wrt и open-wrt Zyxel Keenetic Giga 2 не умеет, а откатываться на первую ветку прошивки, к которой присобачили каких-то пакетов тоже не хотелось, т.к. пришлось бы ломать домашнюю инфрастуктуру. А замену роутеру покупать тоже не очень хотелось, тем более что там нынче по железу какой-то ад и Израиль.