Спасибо, urusha еще разю. за Ваше внимание!!!вот что выходит
краткое содерожание конфига
------------------------------------------------------------------------------------------
#------------#
# Interfaces #
#------------#
ext_if="rl0"
int_if="vr0"
#----------#
# Networks #
#----------#
ext_net="172.16.2.0/29"
int_net="10.0.0.0/24"
#----------#
# Adresses #
#----------#
ext_addr="172.16.2.2"
int_addr="10.0.0.155"
------------------------------------------------------------------------------------------
на удалённой стороне создаётся VPN соединение, которое привязыватеся к адресам
пара 172.16.2.2 --- 172.16.2.1 отрабатывает идеально.
установил правило
nat on $ext_if from $int_if:network to any -> ($ext_if)
pfctl -sn
nat on rl0 inet from 10.0.0.0/16 to any -> (rl0) round-robin
pfctl -ss
all gre 172.16.2.1 <- 10.0.0.155 MULTIPLE:MULTIPLE
all gre 10.0.0.155 -> 172.16.2.2 -> 172.16.2.1 MULTIPLE:MULTIPLE
работает только один от адреса 172.16.2.2 !!!
еду дальше, теперь же надо запустить остальных клиентов, через это соединение.
Поменял правило, чтобы у клиентов была жесткая привязка адресов
nat on $ext_if from $int_if:network to any -> 172.16.2.3/30 source-hash
nat on rl0 inet from 10.0.0.0/16 to any -> 172.16.2.0/30 source-hash 0xcaa7736102ad592f8164581be869f30d
кто первый законнектился, тому и повезло
all gre 10.0.0.155 -> 172.16.2.2 -> 172.16.2.1 MULTIPLE:MULTIPLE
all tcp 172.26.98.1:1723 <- 10.0.0.155:55893 TIME_WAIT:TIME_WAIT
all tcp 172.16.2.2:50787 -> 172.16.2.1:1723 TIME_WAIT:TIME_WAIT
all icmp 172.16.2.1:768 <- 10.0.0.155 0:0
вот здесь - начинает щимится 2-ой клиент, который потом отваливается по тайм-ауту
all icmp 10.0.0.155:768 -> 172.16.2.3:32049 -> 172.26.98.1 0:0
all tcp 172.16.2.1:1723 <- 10.0.0.155:58565 CLOSED:SYN_SENT
all tcp 10.0.0.155:58565 -> 172.16.2.3:60636 -> 172.16.2.1:1723 SYN_SENT:CLOSED
all tcp 172.16.2.1:1723 <- 10.0.0.155:63084 CLOSED:SYN_SENT
all tcp 10.0.0.155:63084 -> 172.16.2.3:50764 -> 172.16.2.1:1723 SYN_SENT:CLOSED
all tcp 172.16.2.1:1723 <- 10.0.0.155:61104 TIME_WAIT:TIME_WAIT
all tcp 10.0.0.155:61104 -> 172.16.2.2:63433 -> 172.16.2.1:1723 TIME_WAIT:TIME_WAIT
т.е. в итоге, кто первый защимился, тот и работает, другие - нет.
На циске поднимается VPN и как сказали, там жесткая привязка должна быть к адресам (когда лезет один с 172.26.98.2 - то всё в шоколаде ),
посему и заманиваюсь на NAT с пулом адресов. Спасибо!