Привет ребята.
Есть такая РАБОЧАЯ схема с трех цисаков (Cisco1760->Cisco2801->Cisco2801):
(192.168.x.x)router1(10.0.0.1)->(10.0.0.2)NAT_Gatw(172.30.0.1)->(172.30.0.2)router2(132.150.x.x)
Настройки.
1. NAT_Gatw#
   ip route 132.150.0.0 255.255.0.0 172.30.0.2
   ip route 192.168.0.0 255.255.0.0 10.0.0.1
   ip nat inside source static 192.168.1.8 172.28.1.1
   ip nat inside source static 192.168.2.8 172.28.1.2
2. router1#
   ip route 0.0.0.0 0.0.0.0 192.168.1.1
   ip route 132.150.0.0 255.255.0.0 10.0.0.2
3. router2#
   ip route 172.28.1.0 255.255.255.0 172.30.0.1
   ip route 192.168.0.0 255.255.0.0 172.30.0.1
   ip route 10.0.0.0 255.255.255.0 172.30.0.1

Тепер ВОПРОС!!! Возможно ли здесь накрутить IPSec тунель с возможностью криптовать трафик между сетями 192.168.x.x и 132.150.x.x и сохранить НАТ с 192.168.1.х на 172.28.1.х?

Предпологаемые настройки крипто.
router1#------------------------------------------
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key ciscotest address 172.30.0.2
crypto isakmp nat keepalive 5
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac

!        
crypto map mymap 1 ipsec-isakmp
description test
set peer 172.30.0.2
set transform-set myset
match address 101

access-list 101 permit ip 192.168.0.0 0.0.255.255 132.150.0.0 0.0.255.255

router2#-----------------------------------
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp key ciscotest address 10.0.0.1
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac

!
crypto map mymap 1 ipsec-isakmp
description test
set peer 10.0.0.1
set transform-set myset
match address 101

access-list 101 permit ip 132.150.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 101 permit ip 132.150.0.0 0.0.255.255 172.28.1.0 0.0.0.255

По такому конфигу у меня крипто заработало только тогда, когда я на NAT_Gatw заменил НАТ
с
ip nat inside source static 192.168.1.8 172.28.1.1
на
ip nat inside source static 10.0.0.1 172.28.1.1
и при условии что NAT_Gatw, router1, router2 поддерживают NAT Traversal.

NAT_Gatw(config)#do sh ip nat tra                                
Pro Inside global      Inside local       Outside local      Outside global
esp 172.28.1.1:2452254391 10.0.0.1:922A6EB7 172.30.0.2:0   172.30.0.2:0
--- 172.28.1.1         10.0.0.1           ---                ---

А когда я не делаю замену NAT'а на NAT_Gatw, то НАТ без изминений пропускает через себя крипто трафик (не выполняет трансляцию).

NAT_Gatw(config)#do sh ip nat tra                                
Pro Inside global      Inside local       Outside local      Outside global
--- 172.28.1.1         192.168.1.8           ---                ---
--- 172.28.1.2         192.168.2.8           ---                ---

Напишите мне, в чем здесь проблема и ришается ли мой вопрос. Исли нет, то предложите альтернативу.
Зарание спасибо...