Задача: надо из локальной сети, из виндовых клиентов подключаться к внешнему серверу VPN (PPTP), на шлюзе свежеустановленный debian 9.

В /etc/sysctl.conf:
net.ipv4.ip_forward=1

Заргуженные модули:
modprobe ip_gre
modprobe ip_nat_pptp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp

В iptables загружены следующие правила:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i enp1s1 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -o ppp0 -s 192.168.XXX.XXX -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT

-A POSTROUTING -o ppp0 -j MASQUERADE

Интернет работает, по сайтам хожу, пробовал разные варианты, но при попытке подключения к VPN серверу клиент всегда получает ошибку 619, такое ощущение что в упор чего-то не вижу. Сам с линуксом знаком, но не глубоко, помогите, слелать надо быстро.