https://www.opennet.me/openforum/vsluhforumID1/94282.html Добрый день!<br><br>Соединение lan-to-lan с помощью OpenSWAN.<br><br>192.168.9.0/24 -- left -- internet -- right (NAT для выхода в интернет мимо VPN) -- 10.100.200.0/21<br><br>IPSEC работает. Пинги от 192.168.9.0/24 -&gt; 10.100.200.0/21 ходят, а вот обратно не хотят.<br>Нашел, что проблема кроется в NAT на right стороне. <br><br>Если делаю исключение ! daddr 192.168.9.0/24 на right, то все работает, но у меня со стороны left еще есть сети, и если их вносишь в исключение, то эта схема не работает.<br><br>То есть если в правилах на right вот так, то все работает<br> pkts bytes target prot opt in out source destination <br> 105 13058 MASQUERADE all -- * eth1 10.100.200.0/21 !192.168.9.0/24<br><br>А если еще добавляю одну подсеть как показано ниже то все, ни одна из подсетей исключения не пингуется из 10.100.200.0/21<br><br> pkts bytes target prot opt in out source destination <br> 563 69490 MASQUERADE all -- * eth1 10.100.200.0/21 !192.168.9.0/24 https://www.opennet.me/openforum/vsluhforumID1/94282.html#1 Mon, 21 Jan 2013 22:39:42 GMT &gt; Как подружить NAT гейт который еще и создает IPSEC тунель до сервера, <br>&gt; так, что бы траффик VPN шел в тунель, а все остальное <br>&gt; в интернет.<br><br>Ларчик открывался просто, без лишних заморочек с iptables. <br>Поставил KLIPS и все заработало как часики с первого раза.<br>