Openswan - IPSec - не работает без NAT'a

[shupike]

Привет, коллеги! Нужна помощь - есть железка Zywall 5 ee, настроен VPN-сервер. За роутером своя сетка, 192.168.2.0/24. Пробую из другого офиса (со своей сеткой, 10.0.2.0/24) подключаться посредством IPSec. Пробовал на винде - программка GreenBow - четко работает, пробовал на Debian 6 (openswan) - тоже есть контакт. Но это машины, находящиеся за NAT'ом, вот конфиг Debian:

/etc/ipsec.conf:
version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
interfaces=%defaultroute
nat_traversal=yes
# exclude networks used on server side by adding %v4:!a.b.c.0/24
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn VPN
authby=secret
pfs=yes
keyingtries=3
rekey=no
ikelifetime=8h
keylife=8h
keyexchange=ike
ike=aes256-sha1-modp1536
esp=aes256-sha1
type=tunnel
left=10.0.2.15
leftnexthop=%defaultroute
leftsubnet=10.0.2.15/32
right=123.123.123.123 #real IP
rightnexthop=%defaultroute
rightsubnet=192.168.2.0/24
auto=add
а это /etc/ipsec.secrets:
include /var/lib/openswan/ipsec.secrets.inc
%any 123.123.123.123: PSK "MyPassword"

А если мне нужно просто сервер на Debian (с одним сетевым интерфейсом и одним реальным IP - 124.124.124.124) по такой же схеме подключить - ничего не получается. Выдается примерно такое:
ipsec auto --up VPN
104 "VPN" #1: STATE_MAIN_I1: initiate
003 "VPN" #1: received Vendor ID payload [RFC 3947] method set to=109
003 "VPN" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
003 "VPN" #1: received Vendor ID payload [Dead Peer Detection]
003 "VPN" #1: ignoring unknown Vendor ID payload [625027749d5ab97f5616c1602765cf480a3b7d0b]
106 "VPN" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "VPN" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected
108 "VPN" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "VPN" #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000
004 "VPN" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf=oakley_sha group=modp1536}
003 "VPN" #2: ERROR: netlink_get_spi for esp.0@124.124.124.124 failed with errno 22: Invalid argument

То есть прохожу только первую фазу и все. Есть подозрение - в случае с NAT у меня ведь есть 2 разных локалки и я их связываю по туннелю. А вот если VPN-клиент - сам по себе существует, без локалки - работать не будет? То есть нужно ему дать вторую сетевушку, выдать ей адрес из сети 10.0.2.0/24? Но и в этом случае NAT'a не будет...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Darg]

Лично я решил проблему с такой же ошибкой, только после замены ядра, с 64-х разрядного на 32-х