Result of the command: "sh crypto ipsec sa"

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: A.A.A.A

      #pkts encaps: 210, #pkts encrypt: 210, #pkts digest: 210
      #pkts decaps: 273, #pkts decrypt: 273, #pkts verify: 273
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 210, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06D2F9C3

    inbound esp sas:
      spi: 0xA3BEE1A2 (2747195810)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274864/28351)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06D2F9C3 (114489795)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274949/28351)
         IV size: 8 bytes
         replay detection support: Y

Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит...

[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]

Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0"
Запускаю racoon...
С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"...
Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10).
Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3...
А циске пишет "IKE: 1 IPSec: 2"
Это как понимать? Туннель один же должен быть?
Вывод команды "sh crypto ipsec sa"
:

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      current_peer: A.A.A.A

      #pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125
      #pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 321

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 0FFBA690

    inbound esp sas:
      spi: 0x753A1D59 (1966742873)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x0FFBA690 (268150416)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 81.2.1.10

      #pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073
      #pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 2

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06E47DB9

    inbound esp sas:
      spi: 0x6C811878 (1820399736)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274893/28574)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06E47DB9 (115637689)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274693/28574)
         IV size: 8 bytes
         replay detection support: Y

Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"...

Правила ipsec на циске вот так прописаны...

access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0

На Линухе:
в /etc/racoon/racoon.conf
    remote B.B.B.B {
        exchange_mode main;
    lifetime time 1440 min;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
    }

    sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }

    sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }

в /etc/ipsec-tools.conf
    spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;

    spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;

    spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;

    spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;

Вроде ж всё правильно??