VPN - NAT- und Routing-Einstellungen?

[B_Halwachs]

Servus Netzwerkchefs!

Habe ein kleines Problem mit einem VPN, welches ich hier aufsetzen soll. Sieht bislang wie folgt aus:

zwei VPN Access 5 von Bintec. Beide Lokationen über T-DSL-Business mit dyn.IP. dyndns.org-dienst läuft auf den routern, und wird aktualisiert.

Habe dann IPSec zwischen den beiden Routern eingerichtet - über esp/des+blowfish - der Tunnel wird sowohl per Routern, als auch per Client-Router aufgebaut, und ich kann dan den Router in der "Hauptstelle" mit seiner Netzinternen IP anpingen.

Das war's dann aber auch. Kein Ping auf ein anderes Gerät im Netz geht!

Klar - muss am Routing oder am Nat liegen... aber - da hörts langsam bei mir auf :-(

Was muss ich denn einem Router mitteilen, damit die anderen Geräte - oder zumindest ein Server, und ein anderer Gateway erreichbar werden???

Konkret siehts noch so aus: Habe im Firmennetz dann einen weiteren Gateway, der dann eine Verbindung zu einem per Standleitung angebundenen, extern gehosteten SAP-Server herstellt. Dieser hat dann natürlich eine gänzlich andere IP. Wie komme ich nun von extern (also per "Zweigstellen-Router" oder per IPSec-Client) auf diesen SAP-Server???

Hab im Router der Hauptstelle schon ein Routing hinterlegt:

ipdessapservers.0/24 über ipdessapgateways/32 - das funktioniert "Netzintern" (d.h. ich kann den sap-gateway bei den clients rauslöschen - die erreichen ihn trotzdem über den VPN-Router, bzw. dessen Routing). Für die externen Verbindungen funktioniert das aber nicht - bzw. - vielleicht würde es ja gehen, wenn ich denn auch einen ping auf den gateway absetzen könnte?!

Dazu also wieder wie ich vermute ein NAT fehler...

Im NAT habe ich die Einträge:

udp-port 500, ah, esp und icmp freigeschaltet (ohne spezielle Quelle oder Ziel oder so - nur damit diese nicht verschlüsselt werden, und erreichbar sein können).

So - nun brauche ich Eure Hilfe! Wäre suuuper, wenn ihr mich erleuchten könnt?!?!?!??

:uli