Здравствуйте коллеги.

Есть 3745 роутер. Ранее на нем вполне нормально работал NAT и DMVPN когда был
всего один Инет канал с дефолтом в него.

Недавно подключили второй канал от другого ISP. Сделал на роутере PBR+IPSLA.
Перестал работать DMVPN. Туннели поднимаются, IEGRP на туннелях работает.
С самого роутера концы туннелей и удаленные сети через туннели пингуются.
Из локалки (за NATом) - нет. Не могу понять в чем напутал. Конфигурация ниже.
fa0/0.1 и fa0/0.2 - принимают каналы от провайдеров. fa0/1 - локалка.
ACL 101 и 102 - листинг юзеров для PBR+NAT (кому в какой канал ходить наружу).
Также настроен PRB локальный для роутинга трафика с самого роутера.

Маршруты все есть:

#sh ip rou eigrp
          172.16.0.0/24 is subnetted, 7 subnets
D 172.16.104.0 [90/297372416] via 172.16.100.4, 16:45:45, Tunnel1
D 172.16.106.0 [90/297372416] via 172.16.100.6, 16:08:26, Tunnel1
D 172.16.107.0 [90/297372416] via 172.16.100.7, 07:07:38, Tunnel1
D 172.16.102.0 [90/297372416] via 172.16.100.2, 10:30:50, Tunnel1
D 172.16.103.0 [90/297372416] via 172.16.100.3, 06:16:54, Tunnel1

Дебаг показывает вот такие странности:

IP: tableid=0, s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), routed via RIB
IP: s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), len 56, sending

Т.е. зачем-то ходят пакет от адреса туннеля на реальник интерфейса ISP1.
Возможно, проблема где-то здесь (в неправильной работе NAT).

Дебаг NAT 172.16.0.0\16 показывает такое:

NAT*: s=192.168.0.102->172.16.100.1, d=172.16.103.254 [17135]

Т.е. прямая трансляция на удаленные сети за туннелями проходит. Обратной трансляции в логах нет.
Сниф на Инет каналах не показывает, чтобы в них ошибочно отправлялись пакеты для 172.16.0.0\16
Т.е. вроде как пакеты корректно НАТятся и отправляются в туннели. Но не работает.
ISAKMP\IPSEC все нормально, peer'ы и sa установлены. С роутера все пингуется. С локалки нет.

Со всеми этими мудреными роутмапами для НАТ overload и static все раньше работало.
До момента подключения второго провайдера и настройки PBR.

AS нет, взять нереально (BGP провайдеры не дают).

В чем может быть дело? Заранее спасибо за ответы.

!
boot system flash:c3745-adventerprisek9-mz.124-12.bin
!
ip sla monitor 1
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.1
  timeout 1000
  frequency 5
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.2
  timeout 1000
  frequency 5
ip sla monitor schedule 2 life forever start-time now
!
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
interface Loopback0
  ip address 172.16.101.254 255.255.255.0
!
interface Tunnel1
  ip address 172.16.100.1 255.255.255.0
  no ip redirects
  ip nat outside
  ip nhrp map multicast dynamic
  ip nhrp network-id 1
  ip nhrp holdtime 60
  ip virtual-reassembly
  tunnel source FastEthernet0/0.1
  tunnel mode gre multipoint
  tunnel key 1
  tunnel protection ipsec profile VTI_IPSEC
!
interface FastEthernet0/0
  no ip address
  ip virtual-reassembly
!
interface FastEthernet0/0.1
  description ISP1_LINK
  encapsulation dot1Q 1111
  ip address x.x.x.x 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/0.2
  description ISP2_LINK
  encapsulation dot1Q 2222
  ip address y.y.y.y 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/1
  ip address 192.168.0.254 255.255.255.0
    ip nat inside
  ip virtual-reassembly
  ip policy route-map RMAP_ISP_GW_SELECT
!
!
router eigrp 100
  passive-interface Loopback0
  network 172.16.100.0 0.0.0.255
  network 172.16.101.0 0.0.0.255
  no auto-summary
!
ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT
!
ip nat inside source route-map RMAP_NAT_ISP1 interface FastEthernet0/0.1 overload
ip nat inside source route-map RMAP_NAT_ISP2 interface FastEthernet0/0.2 overload
ip nat inside source route-map RMAP_NAT_VPN interface Tunnel1 overload
ip nat inside source static 192.168.0.234 x.x.x.x route-map RMAP_NAT_ISP1_STAT
ip nat inside source static 192.168.0.123 172.16.101.123 route-map RMAP_NAT_VPN_STATIC
!
ip access-list extended ACL_NAT_INET
  permit ip host 255.255.255.255 any
  permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended ACL_NAT_ISP1_STATIC
  permit ip host 255.255.255.255 any
  permit ip host 192.168.0.234 any
ip access-list extended ACL_NAT_ISP2_STATIC
  permit ip host 255.255.255.255 any
ip access-list extended ACL_NAT_VPN
  permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended ACL_NAT_VPN_STATIC
  permit ip host 192.168.0.123 any
ip access-list extended ACL_SLA_ISP1
  permit ip x.x.x.x 0.0.0.3 any
ip access-list extended ACL_SLA_ISP2
  permit ip y.y.y.y 0.0.0.3 any
!
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip host 192.168.0.234 any
...
access-list 102 permit ip host 192.168.0.101 any
...
!
route-map RMAP_ISP_GW_SELECT deny 5
  match ip address ACL_NAT_VPN
!
!
route-map RMAP_ISP_GW_SELECT permit 10
  match ip address ACL_NAT_ISP1_STATIC
  set ip next-hop x.x.x.1
!
route-map RMAP_ISP_GW_SELECT permit 20
  match ip address ACL_NAT_ISP2_STATIC
  set ip next-hop y.y.y.1
!
route-map RMAP_ISP_GW_SELECT permit 100
  match ip address 101
  set ip next-hop verify-availability x.x.x.1 10 track 1
  set ip next-hop verify-availability y.y.y.1 20 track 2
!
route-map RMAP_ISP_GW_SELECT permit 200
  match ip address 102
  set ip next-hop verify-availability y.y.y.1 10 track 2
  set ip next-hop verify-availability x.x.x.1 20 track 1
!
route-map RMAP_ISP_GW_SELECT deny 1000
  set interface Null0
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 10
  match ip address ACL_SLA_ISP1
  set ip default next-hop x.x.x.1
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 20
  match ip address ACL_SLA_ISP2
  set ip default next-hop y.y.y.1
!
route-map RMAP_NAT_VPN deny 10
  match ip address ACL_NAT_VPN_STATIC
!
route-map RMAP_NAT_VPN permit 20
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 20
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP2 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.2
!
route-map RMAP_NAT_ISP1 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP1 deny 20
  match ip address ACL_NAT_ISP1_STATIC
!
route-map RMAP_NAT_ISP1 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.1
!
route-map RMAP_NAT_VPN_STATIC permit 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2_STAT permit 10
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP1_STAT permit 10
  match ip address ACL_NAT_ISP1_STATIC