Приветствую всех. Помогите разобраться, а то уже весь моск съел. Стоял себе сервак уменя на слаке 13. Работал как прокси да почтовик. Пару компов выпускал в инет через нат. Все нормально. Тут начальству приспичило один из наших компов соединить с другой конторой и именно по ipsec. Установил я ipsec-tools. Его настроил. Пускаешь трасеровку или пинги - в логах ракуна видно, что мой линукс с циской общаются радостно, но дальше моего прокси пинги не уходят. Куда копать? route всетаки iptabls?

Пробовал

-A INPUT -s $CISCO -d $LINUX -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -d $CISCO -s $LINUX -p udp -m udp --sport 500 --dport 500 -j ACCEPT

-A INPUT -s $CISCO -d $LINUX -p esp -j ACCEPT
-A OUTPUT -d $CISCO -s $LINUX -p esp -j ACCEPT
-A INPUT -d $CISCO -s $LINUX -p esp -j ACCEPT
-A OUTPUT -s $CISCO -d $LINUX -p esp -j ACCEPT

-A FORWARD -s 10.128.131.19 -d 10.20.5.0/24 -j ACCEPT
-A FORWARD -s 10.20.5.0/24 -d 10.128.131.19 -j ACCEPT

где
$CISCO - удаленная циска
$LINUX - мой линукс
10.128.131.19 - комп в моей сети, к которому нужен доступ
10.20.5.0/24 - удаленная подсеть за циской, с которой нужен доступ

еще одно дополнение, из-за которого я мог запутаться совсем

10.128.131.19 (комп в моей сети) <-> 192.168.5.2 (внутренний адрес прокси) <-> $LINUX (внешний интерфейс на прокси) <<-интернет->> $CISCO (удаленная циска) <-> 10.20.5.0/24 (удаленная подсеть)

Возможно какие-то из правил iptabls лишние, но по ним были отбитые пакеты изначально. Правила форварда не знаю нужны или нет, но во время эксперимента их дописывал. Но по протоколу esp и по 500му порту отбивало изначально. Потом еще вопрос по поводу nat или dnat - надо или нет?