VPN L2TP/IPSEC Versus IPTABLES

Hello à tous et spécial bonjour à ceux que je connais et qui me reconnaissent (notamment Brupala :)

Je rencontre quelques soucis de filtrage avec iptables et un serveur VPN sous Windows 2003 (en L2TP/IPSEC).

Ma passerelle fait office de firewall avec iptables, le serveur 2003 est dans le LAN et il est natté (ça surprend hein ? mais j'expose la config...). Le VPN en local fonctionne à merveille, mais par accès à distance ce n'est pas encore ça :þ


Voici ce que j'ai tenté de faire :

#ISAKMP (sport a été mis de coté)
iptables -t nat -A PREROUTING -i $net -p udp --dport 500 --to-destination $2003:500

iptables -A FORWARD -i $net -o $lan -p udp --dport 500 -m state --state NEW -j ACCEPT

#ESP et AH
iptables -A FORWARD -i $net -o $lan -p esp -j ACCEPT
iptables -A FORWARD -o $net -i $lan -p esp -j ACCEPT

iptables -A FORWARD -i $net -o $lan -p 51 -j ACCEPT
iptables -A FORWARD -o $net -i $lan -p 51 -j ACCEPT

Pour les hooks FORWARD et OUTPUT vers le net , c'est ouvert.

Dois je aussi "prérouté" le traffic ESP et AH (je me demande si j' ai besoin de AH...) vers le serveur 2003 ?
Dois je aussi utiliser SNAT ?

Autre info : le client qui tente de se connecter n'est pas natté, connexion directe.

Merci d'avoir pris le temps de lire mon post :)