<div dir="ltr"><div><div><div>yeah, every time updated ipsec.conf I will try this two iptables rules. Now I found this two rules maybe have the same function. Issuing ping from PC1 still only capture reply on ONT1.<br></div>So there is two question need to be solved:<br></div>1. I capture data on wan interface, each time two esp packet and one icmp reply packets , Is this correct with plain text icmp packets?<br></div>2. To find a way let reply packets forward to PC1. Now my environment only setup ipsec tunnel.<br><div><div><div><div><br>01:18:48.897899 IP 135.251.199.83 > <a href="http://135.251.205.188">135.251.205.188</a>: ESP(spi=0x1baa58c3,seq=0xb), length 100<br>01:18:48.899898 IP 135.251.205.188 > <a href="http://135.251.199.83">135.251.199.83</a>: ESP(spi=0xc51ef3c2,seq=0xb), length 100<br>01:18:48.900199 IP 192.168.5.100 > <a href="http://192.168.1.101">192.168.1.101</a>: ICMP echo reply, id 1, seq 1348, length 40<br>01:18:53.898650 IP 135.251.199.83 > <a href="http://135.251.205.188">135.251.205.188</a>: ESP(spi=0x1baa58c3,seq=0xc), length 100<br>01:18:53.900291 IP 135.251.205.188 > <a href="http://135.251.199.83">135.251.199.83</a>: ESP(spi=0xc51ef3c2,seq=0xc), length 100<br>01:18:53.900534 IP 192.168.5.100 > <a href="http://192.168.1.101">192.168.1.101</a>: ICMP echo reply, id 1, seq 1349, length 40<br>01:18:58.899278 IP 0.0.0.0 > <a href="http://0.0.0.0">0.0.0.0</a>: ESP(spi=0x00000000,seq=0x0), length 100<br>01:18:58.901227 IP 135.251.205.188 > <a href="http://135.251.199.83">135.251.199.83</a>: ESP(spi=0xc51ef3c2,seq=0xd), length 100<br>01:18:58.901552 IP 192.168.5.100 > <a href="http://192.168.1.101">192.168.1.101</a>: ICMP echo reply, id 1, seq 1350, length 40<br></div></div></div></div></div>