Господа , бьюсь с поднятием ipsec тоне ля с такой схемой
ASA5520 с реальным IP - инет- LINUX NAT - Cisco 2911 сумел добиться поднятия тоннеля , но только в такой вот конфигурации со стороны 2911
crypto isakmp key 123 address 213.221.6.2
crypto isakmp key 123 address 192.11.11.1
crypto map ITG 1 ipsec-isakmp
description Tunnel to ITG
set peer 213.221.6.2
set peer 192.11.11.1
set transform-set ESP-3DES-SHA
set pfs group2
match address 121
access-list 121 permit ip 192.0.0.0 0.15.255.255 host 10.37.3.17
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.129.101.45
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.129.101.85
access-list 121 permit ip 192.0.2.0 0.0.0.255 host 10.24.8.10
тоннель поднимается но трафик не ходит.
счетчики ACL 121 на 2911 не отрабатывают
на ASA5520 все в порядке и ACL отрабатывает
причем если убрать пир с внутренним адресом LINUX NAT то первая фаза не проходит
в дебаге видно, что ipsec ищет пароль на 192.11.11.1 и не найдя его роняет тоннель
прочитав вот эту инструкцию http://www.cisco.com/cisco/web/support/RU/9/92/92107_ipsecna... подозреваю что на NAT не хватает isakmp nat-traversal 2, но какой эквивалент данной команды в linux я не могу понять :(
Оговорюсь, что с пробросами все в порядке, так как Cisco Easy VPN через NAT и 2911 работает