Есть две Cisco 1721. У каждой FastEthernet в локальной сети, и Ethernet наружу, через SDSL.

RouterA:
fa0 192.168.0.1/24
e0 1.2.3.4

RouterB:
fa0 192.168.1.1/24
e0 5.6.7.8

Между 192.168.0.0/24 и 192.168.1.0/24 туннель (IPSec).
Пока что все тривиально.

На RouterA подключается Cisco VPN client. Ему выдается адрес из пула 192.168.250.0/24.

Задача - чтобы у клиента был доступ не только к 192.168.0.0/24 (подключена к RouterA), но и к 192.168.1.0/24 (подключена к RouterB).

Пока что не получается - доступ есть только к 192.168.0.0.

crypto isakmp client configuration group common
  dns 192.168.0.3 192.168.0.4
  wins 192.168.0.3
  domain mydomain.local
  pool client-pool
  acl 140

access-list 140 permit ip 192.168.0.0 0.0.0.255 192.168.250.0 0.0.0.255
access-list 140 permit ip 192.168.1.0 0.0.0.255 192.168.250.0 0.0.0.255

В Cisco VPN client присутствуют маршруты на обе сети. По sh cry ipsec sa видно, что пакеты от клиента шифруются, но до RouterB не доезжают.

Самый главный вопрос - это вообще возможно в принципе?