Дано:
Машина с Debian, настроенная в качестве роутера + IPSec канал в удалённый офис.

Было:
eth0 192.168.192.1
eth1 x.x.x.x (белый статический)
IPSec Racoon
В другом офисе локальная сеть 192.168.21.0/24

В маршрутах:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.21.0    x.x.x.x         255.255.255.0   UG    0      0        0 eth1

Пакеты между офисами через туннель исправно ходили. Соединение с сервером XMPP, находящемся в удалённом офисе по адресу 192.168.21.201, успешно устанавливалось.

Стало:
Роутер-модем Мегафон с белой статикой наружу и адресом 192.168.8.1, смотрящим вовнутрь.
На роутере:
eth0 192.168.192.1
eth1 192.168.8.100

В маршрутах:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.21.0    192.168.8.100   255.255.255.0   UG    0      0        0 eth1

Конфиги Ракуна и правила IPTables, естественно, подправлены в соответствии с новым IP (кроме IP в конфигах ничего не менял). Но пакеты между офисами теперь не ходят. setkey говорит, что туннель устанавливается, но ping говорит, что:
PING 192.168.21.201 (192.168.21.201) 56(84) bytes of data.
From 192.168.8.100 icmp_seq=1 Destination Host Unreachable
Соответственно, соединение с XMPP-сервером не устанавливается. При этом удалённый офис нас видит без проблем. Куда копать?