Dotaz: IPSec - ztracejíci se packety

Pokousim se propojit dve LAN pomoci IPSec v tunelovacim modu. Na obou koncich jsou routery s Debian Sarge s verejnymi IP, za nimi na jedne strane LAN 192.168.0.0/24 (pripojeno k routeru A), na druhe 10.250.4.0/24 (router B). Tunel nabehne bez problemu. Pokud ale pingam z 192.168.0.X na 10.250.4.X, echo request projde bez problemu, echo reply se objevi jeste na vstupnim rozhrani routeru A, ale na jeho rozhrani do LAN uz ne. Nastavil jsem si logovani na FORWARD v iptables a tam uz se packety neobjevi. Neobjevi se ani na OUTPUT (pokud by snad packet vyplivnuty z IPSec-u byl smerovany sem). Porovnam-li packety pred vstupem do tunelu na jedne strane a po vystupu z nej na strane druhe, lisi se pouze TTL (a checksum, samozrejme). Nejaky napad?

Jeste jsem zapomnel uvest, ze IPSec je realizovany pomoci racoon (0.5.2-1sarge1) a ipsec-tools (0.5.2-1sarge1).

Vidite rozbalene pakety na vnejsim rozhrani vzdaleneho konce tunelu?

Napr. paket, ktery je nejprve zasifrovan a pak autentizovan a oba protokoly jedou v tunnel rezimu, se na prichozim rozhrani stroje, kde ma dojit k vybaleni, objevi 3 krat: nejprve IP1(AH(IP1(ESP(EDATA)))), pak IP1(ESP(EDATA)) a nakonec IP2(DATA).

Pritom na odchozim rozhrani zdrojoveho konce tunelu uvidite jen jeden jediny paket a to ten, co je 1. na vzdalenem konci.