Доброго всем времени суток!
Объеденил две свои сети, настроив IPSec(racoon) между двумя linux шлюзами подключенными к гор сети, все отлично работает. Теперь возникла проблема с настройкой SNAT на интерфейсах смотрящих в гор. сеть, чтобы пользователи находящиеся за этими linux машинами могли пользоваться еще и ресурсами в этой гор сети...

IF_EXT="eth1" # Гор. сетевуха
IF_INT="eth0" # Внутр. сетевуха
LAN_LOC="10.24.11.0/24"  # Внутр сеть
LAN_ORNG="10.22.0.0/16"  # Удаленныя сеть
IPTABLES="/sbin/iptables"

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -t mangle -A PREROUTING -i $IF_EXT -p esp -j MARK --set-mark 1 #VPN
$IPTABLES -t nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $LAN_ORNG -i $IF_EXT -m mark --mark 1 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -d $LAN_LOC -i $IF_EXT -j DROP

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #SSH
$IPTABLES -A INPUT -i $IF_EXT -p udp -m udp --dport 500 -j ACCEPT #VPN
$IPTABLES -A INPUT -i $IF_EXT -m mark --mark 1 -j ACCEPT

$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $IF_EXT -m mark --mark 1 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -j ACCEPT

При таком конфиге объеденены две сети, но как добавляю

$IPTABLES -t nat -A POSTROUTING -s $LAN_LOC -j SNAT --to-source x.x.x.x
# x.x.x.x - адрес в гор. сети

В моей сети начинают все видеть ресурсы в городской сети, но пропадает ipsec канал :(
Может быть у кого-то была похожая ситуация, подскажите как быть ?