добрый день.
в подразделении необходимо настроить шлюз на ubuntu c NAT в интернет для пользователей подразделения и ipsec в режиме tunnel до головного предприятия. ну и, естественно, завернуть в тоннель весь внутренний трафик. в ГП на циске авторизация по IP.

убунту внутренний  192.168.38.100
внешний  81.91.х.158

циска 81.91.y.14

файл interfaces

auto lo
iface lo inet loopback

# внутренний
auto eth0
iface eth0 inet static
    address 192.168.38.100
    netmask 255.255.255.0
    network 192.168.38.0
    broadcast 192.168.38.255
    dns-search u-nat.х.ru
# наружный
auto eth1
iface eth1 inet static
    address 81.91.х.158
    netmask 255.255.255.128
    network 81.91.х.128
    broadcast 81.91.х.255
    gateway 81.91.х.129
    dns-nameservers 8.8.8.8 208.67.222.222
    dns-search u-nat.х.ru

post-up /etc/nat

файл /etc/nat
#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -t nat -I POSTROUTING 1 -o eth1 -s 192.168.38.0/24 -d 192.168.39.0/25 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.38.0/24 -j MASQUERADE

iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -j REJECT

файл ipsec-tools.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.38.0/24 192.168.39.0/25 gre -P out ipsec
esp/tunnel/81.91.x.158-81.91.y.14/require;

spdadd 192.168.39.0/25 192.168.38.0/24 gre -P in ipsec
esp/tunnel/81.91.y.14-81.91.x.158/require;

нат и интернет работают, а вот тоннель нет.

я так понимаю, что ipsec нужно завернуть мимо NAT но как это реализовать не знаю.