ipsec Debian Racoon & Cisco ASA

[pmuller]

Consegui fechar a VPN site to site IPSec do meu Debian com o Cisco. Porém, agora estou com dificuldades em fazer uma maquina da minha rede "A" (10.33.96.250) enxergar a máquina da outra rede "B" (10.2.123.7). Pedi para fazer um ping para o IP "A", mas não respondeu. Verifiquei na interface externa (eth2) do fw da rede da máquina "A" e vejo o pacote. "IP 10.2.123.17 > 10.33.96.250: ICMP echo request, id 512, seq 27934, length 40"
Porém o mesmo não chega na minha interface interna (eth1) e nem na interface da máquina "A". Olhei o iptables para verificar se existe algum drop e nada. Pergunto, tenho que fazer algum prerouting? Tenho que fazer algum tratamento especial destes ips inválidos que vem após fechar a vpn ou só trabalho com os ips válidos dos firewalls ?Alguma idéia ?

[iverton]

isso parece ser problema de roteamento. as rotas estão certas? posta elas ai pra podermos dar uma olhada

[pmuller]

O problema é que vc não deve fazer o NAT do ipsec. Problema resolvido.