Добрый день!

Соединение lan-to-lan с помощью OpenSWAN.

192.168.9.0/24 -- left -- internet -- right (NAT для выхода в интернет мимо VPN)  -- 10.100.200.0/21

IPSEC работает. Пинги от 192.168.9.0/24 -> 10.100.200.0/21 ходят, а вот обратно не хотят.
Нашел, что проблема кроется в NAT на right стороне.

Если делаю исключение ! daddr 192.168.9.0/24 на right, то все работает, но у меня со стороны left еще есть сети, и если их вносишь в исключение, то эта схема не работает.

То есть если в правилах на right вот так, то все работает
pkts bytes target     prot opt in     out     source               destination        
  105 13058 MASQUERADE  all  --  *      eth1    10.100.200.0/21     !192.168.9.0/24

А если еще добавляю одну подсеть как показано ниже то все, ни одна из подсетей исключения не пингуется из 10.100.200.0/21

pkts bytes target     prot opt in     out     source               destination        
  563 69490 MASQUERADE  all  --  *      eth1    10.100.200.0/21     !192.168.9.0/24      
    1    84 MASQUERADE  all  --  *      eth1    10.100.200.0/21     !192.168.3.0/24

Как подружить NAT гейт который еще и создает IPSEC тунель до сервера, так, что бы траффик VPN шел в тунель, а все остальное в интернет.