...которая для PPTP+локалка с DHCP.
А проявилась на конфигурации без локалки, с ppoe.
При запуске не поднимается NAT. Пришлось вручную прописывать в post-firewall. Анализ показал, что в /tmp/nat_rules находятся синтаксически неправильные строчки, на которых (вероятно) затыкается iptables-restore.
А строчки там такие:
-A POSTROUTING -o ppp0 -d ! [тут два пробела] -j MASQUERADE
и, похоже, связаны с тем, что для локалки сделали второй вызов post-firewall, при котором WAN IP пустой