Fontos, hogy ha NAT van használatban, akkor a csomagokat át kell engednünk az ipfilteren, mielőtt a csomagok fejlécében a forráscím átíródik az átjáró címére. Ha nem tesszük meg, akkor az útvonalválasztás során a normál interface-n fogják elhagyni a hálózatunkat a külvilág felé és nem az ipsec által létrehozott interface-n, amin tunelben haladna tovább. Így a csomag nem találja meg a cél címet, vagy ha meg is találná (feltéve, hogy a privát hálózatban is publikus címek vannak használatban) az ellenoldali IPSec átjáró eldobná a csomagot, mivel észlelné, hogy az út folyamán valahol módosítva lett. Ahhoz, hogy ezt elkerüljük a következőhöz hasonló parancsot kell kiadnunk:
iptables -I POSTROUTING -t nat -j ACCEPT -d 172.20.24.0/21
Ami azt eredményezi, hogy a 172.20.24.0/21 hálózat felé átengedi a forgalmat és ha a szabályra illeszkedik az adott csomag, a feldolgozás véget ér, így a fejléc nem módosul. A sorrend tehát fontos. Előbb kell szerepelnie a fenti ACCEPT szabálynak a POSTROUTING láncban, mint a MASQUERADE sornak. Valahogy így :
iptables -L POSTROUTING -t nat -n Chain POSTROUTING (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 172.20.24.0/21 MASQUERADE all -- 172.20.16.0/2 10.0.0.0/0 MASQUERADE all -- 172.20.0.0/21 0.0.0.0/0
Ezekre mindkét oldalon ügyelni kell !