Коллеги, каким образом можно запретить исходящие Site-to-Site L2TP соединения без шифрования IPsec?

Текущие правила output не помогают:
add chain=output action=accept connection-state=established,related comment="Allow Established and Related connections"
add chain=output action=reject protocol=gre ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block GRE/EoIP without IPsec"
add chain=output action=reject protocol=l2tp ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"
add chain=output action=reject protocol=udp dst-port=1701 ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"

out,ipsec , а не out, none

Да

Коллеги, каким образом можно запретить исходящие Site-to-Site L2TP соединения без шифрования IPsec?

Текущие правила output не помогают:
add chain=output action=accept connection-state=established,related comment="Allow Established and Related connections"
add chain=output action=reject protocol=gre ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block GRE/EoIP without IPsec"
add chain=output action=reject protocol=l2tp ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"
add chain=output action=reject protocol=udp dst-port=1701 ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"

А если в профайле по впн поставить так?

Непонятно зачем тут reject-with.. Он же на этапе отправки пакета должен гасить его, а не отвечать пришедшему пакету... Но это так..

это не имеет отношения к ipsec

Коллеги, каким образом можно запретить исходящие Site-to-Site L2TP соединения без шифрования IPsec?

Текущие правила output не помогают:
add chain=output action=accept connection-state=established,related comment="Allow Established and Related connections"
add chain=output action=reject protocol=gre ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block GRE/EoIP without IPsec"
add chain=output action=reject protocol=l2tp ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"
add chain=output action=reject protocol=udp dst-port=1701 ipsec-policy=out,none reject-with=icmp-admin-prohibited comment="Block L2TP without IPsec"

Речь вроде изначально про L2TP

Все тут правильно. Reject with дает возможность указать причину Reject. Это более правильно, чем просто reject (не в курсе, какой там по умолчанию ICMP ответ прилетает, если не указывать reject-with)

action=reject chain=output dst-port=1701 ipsec-policy=out,none protocol=udp reject-with=icmp-admin-prohibited


УМВР

Все тут правильно. Reject with дает возможность указать причину Reject. Это более правильно, чем просто reject (не в курсе, какой там по умолчанию ICMP ответ прилетает, если не указывать reject-with)

Чисто ради интереса, это чтобы в логах матчить?

Стандарты не просто так придумали

можно поинтересоваться, какие такие стандарты?

Это чтобы было по феншуй