racoon - ipsec redes não conversam...

Boa tarde pessoal

Estou tentando fechar uma VPN com ipsec via racoon+ipsec-tools.

Rede de um modo simples:
192.168.0.0/24(eth0) - firewall - xxx.xxx.xxx.xxx ------internet ------- yyy.yyy.yyy.yyy - firewall - 192.168.10.0/24

Nos logs eu vejo que fecha o ipsec:
IPsec-SA established: ESP/Tunnel xxx.xxx.xxx.xxx[4500]->yyy.yyy.yyy.yyy[4500] spi=228102050(0xd988fa2)

só que eu não consigo fazer absolutamente nada entre as duas redes internas .....8(

na rede 192.168.0.0/24

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.0.0/24 192.168.10.0/24 any -P out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;

spdadd 192.168.10.0/24 192.168.0.0/24 any -P in ipsec
esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;

nas regras de firewall eu habilitei ( tem mais regars mas estas são as referentes a ipsec)
iptables -A INPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A FORWARD -d 192.168.10.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xxx.xxx.xxx.xxx

da outra rede o mesmo ( obviamente mudando os ips )

da rede 192.168.10.0/24 eu tento dar um ping no 192.168.0.2 .
Vejo o ping chegando na interface xxx.xxx.xxx.xxx como 192.168.10.11 > 192.168.0.2 mas não vejo o retorno
Vejo no tcpdump os pacotes da rede xxx.xxx.xxx.xxx para rede yyy.yyy.yyy.yyy ida e volta mais nada de uma rede interna dar um ping na outra.

Já pesquisei me varios foruns e não achei nada

experimentei colocar nas regars de postrouting: ( da rede a)
iptables -t nat -I POSTROUTING -o eth1 -d 192.168.10.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -o eth1 -d yyy.yyy.yyy.yyy -j ACCEPT

e mesmo assim nada funcionou....

alguma outra idéia????

[]s a todos

--
--