Openiked-リモートゲートウェイにpingできません

私はstrongswanでトンネルipsecをセットアップし、x509PKIでopenikedしました。トンネルは正しく確立されますが、いくつか問題があります。

• Ikedを使用するゲートウェイは、ルーターvyattaのローカルIPにpingを実行できませんが、vyattaはikedを使用してゲートウェイのローカルIPにpingを実行できます。

• サブネット10.1.1.0/24はサブネット10.3.3.0/24に参加できません（逆に）

以下に、私の構成のスキーマを示します。

                                10.2.2.0/24               10.3.3.0/24
 +---------------+    +--------+.100   +-------+   ISP    +---------+.1
 |Private subnet +---^|  FW    +------^+ Box   +^---------+FW       |
 +---------------+   1.--------+       +-------+          +---------+
  10.1.1.0/24           Strongswan        NAT              OpenBSD (iked)
                        vyatta

私のiked.conf：

ikev2 "site2" passive esp \
    from 10.3.3.1 to 10.2.2.100 \
    from 10.3.3.0/24 to 10.1.1.0/24 \
    peer any local any \
    srcid iked.example.com dstid vyatta.example.com \
    #ikesa auth hmac-sha2-256 enc aes-256-ctr group modp2048 \
    childsa auth hmac-sha2-512 enc aes-256-ctr group modp2048 \
    tag "$name-$id"

私のipsec.conf（strongswan）：

conn site1
    keyexchange=ikev2
    dpddelay=5s
    dpdtimeout=60s
    dpdaction=restart

    left=%defaultroute
    leftcert=vyatta.crt.pem
    leftsubnet=10.1.1.0/24,10.2.2.100
    leftfirewall=yes
    leftid="vyatta.example.com"

    right=10.3.3.1
    rightsubnet=10.3.3.0/24
    rightid="iked.example.com"

    auto=start

しかし、これら2つのルートをikedゲートウェイに追加すると、すべてが機能します。

route add -inet 10.2.2.100 -llinfo -link -static -iface vmx1
route add -inet 10.1.1.0/24 10.2.2.100

1つを除いて。パケットフィルターからリダイレクトrdr-toとnat-toの組み合わせを作成したとき、それは機能しませんでした。パケットは10.1.1.0/ 24サブネット上のサーバーに正しくリダイレ​​クトされ、src ipはNATされます（snatは10.3.3.1です）。 openbsdが10.2.2.100のarpアドレスを要求しているため、転送されないことに気づきました。これは私にはわかりません。したがって、パケットがトンネルにカプセル化されない理由がわかりません。「tcpdumpenc0」を実行しても何も表示されません。

だから、私は2つの質問があります：

• Ikedゲートウェイがルートなしでvyattaゲートウェイにpingできないのはなぜですか？構成ファイル（iked.conf）に何か足りないものがありますか？
• Openbsdがenc0でパケットをリダイレクトする代わりにarpリクエストを行ったのはなぜですか？