Доброе время суток уважаемые коллеги!
Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом.

Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:
Процедуры по редактированию  /etc/sysctl.conf были произведены

net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами
net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect

В фаерволе порты открыты

iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT

На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf

left=1.1.1.1 # Указываем внешний ip адрес
leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть
У второй стороны все как подобает
right=2.2.2.2
rightsubnet=10.1.1.0/24
Авторизация по паролю
/etc/ipsec.secrets
2.2.2.2  1.1.1.1: PSK "pre_shared_key"
esp=des-sha1
ike=des-sha1-modp1024

В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут.

Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ