Понадобилось удаленно через инет подключаться к САПу. Доступ к локальной сети организован через VPN (PPtP).
Если в инет выходить через обычное модемное соединение и устанавливать затем VPN-коннект к локальной сети - все работет, GUI запускается. Если в инет выходить через локальную сеть провайдера и VPN провайдера, а потом через еще один VPN заходить в локальную сеть - все останавливается на окошке с бегущей строкой, внизу которой написано Wating for response.
В чем может быть дело?

зачем так сложно? сапроутер наружу (порт) и через пароль. отпадёт необходимость в ВПН к локальной сети... а у вас терь не разобраться кто колом встаёт.. провайдер или пптп локальной сети..

Ну вот так вот сделано, я с этим ничего поделать не могу. Причем со сквидом, находящимся в локальной сети, через "ВПН через ВПН" нормально общаюсь, так что дело не в маршрутизации.
Сапроутер стоит на той же машине, с которой устанавливаю второе ВПН-соединение.
Хоть какие-нибудь идеи есть в чем может быть причина?

ну, если на той же, то значит его порт _уже_ торчит наружу?
я так вас понял - первое соединение - вышли в инет (к провайдеру подключились) - второе - зашли в локалку.. а вы говорите, что сапроутер на той же машине.. его порт прикрыт fw? или как?

а по сути вашего вопроса - дело может быть в маршрутизации всёже...
т.е. пакеты _от_ вас (снаружи) приходят через впн, а _уходят_ (от САПа) через какой то дефолтный гейт, и соответ. _мимо_ вашего ВПНа.. посему для вас они уже "не то"

провайдер вам какой ip выдаёт (после соединения)? Реальный???

вы телнетом сначала, телнетом.. гуй пока подождёт..

оттрейсить _от_ вас, и _к_вам_.. в локалке есть наверняка сервера, на них RDP открыт.. можно зайти.. потрейсить _наружу_к_вам_ (посмотрев что провайдер выдаёт).

т.е. вы заходите через некий гейт, сквид на него смотрит, пакеты вертаются через ВПН - сквид работает, САП - у него _может_ быть другой гейт, там нет никакого ВПН, пакеты вертаются, но уже не через ВПН и дропаются.

На машине, которя является шлюзом в локальную сеть и с которой я устанавливаю ВПН-соенидение, крутятся сапроутер, сквид, IPtables, ICMP как класс отсутствует. Извне она принимает только PPtP соединения. Саповские сервера стоят за ней. У нее есть один реальный IP-адрес, с которым я и устанавливаю ВПН-соединение.
У моего провайдера есть локальная сеть, к которой я подключен и в которой у меня приватный IP-адрес.
Чтобы выйти в инет, я устанавливаю ВПН-соединение с сервером провайдера и получаю реальный IP-адрес. После этого я устанавливаю еще одно ВПН-соединение со шлюзом в локальную сеть офиса, в котором стоит САП (первый абзац), при этом мне выдается приватный IP-адрес. Приватные адреса не пересекаются, лежат в разных сетях. В офисе настроено прозрачное проксирование и если после установки второго ВПН-соединения в браузере набрать какой-нибудь адрес, мне в браузер вывалится страница от сквади с сообщением что типа запрещено мне в инет лазить (из этого я делаю вывод, что все-таки есть двухсторонняя связь с офисом через второе ВПН-соединение). Телнетом ниче проверить не могу, все прикрыто. Даже пингов никуда нету.
Теперь если я запускаю САП-логон - висит небольшое окошко с бегущей строкой и снизу Wating for response...
В качестве эксперимента я через модем и через другого провайдера вышел в инет (даже через двух других провайдеров), установил ВПН-соединение со шлюзом в офис (используя тот же профиль соединения), запускаю сап-логон - и о чудо! - все работает...
Если бы дело было в маршрутизации - я думаю во втором случае тоже бы не работало.
Шайтан какой-то....

Ну так саповские потры то открыты, иначе как бы Saplogon туда ломился?.
А вобщем - проблема где-то всё же с маршрутизацией, если действительно провайдер вам позволил второй VPN установить...

1) только САП не работает?? ну зайдите на шару сервера в рабочей сети.. попробуйте...
2) MTU? уменьшите до 512 - посмотрите что получится.. мож со сборкой фрагментированых пакетов беда... на клиенте своём MTU 512 - тогда мож проскочит...

Ура! Заработало, разобрался.
Дело было в MTU (tnx ndm)
Как я понял, дефолтный MTU 1500. При нем максимальный размер пакета данных получался 1472 байта, а при запуске первого ВПН становился почему-то 1372. Сейчас поставил ограничение на 1300 байтов на MTU для RAS (похоже, этот параметр действует и на RAS, и на VPN коннекты) - все работает.