Есть сервер который через cisco2911 смотрит в инет на данный сервер проброшено несколько портов из "вне" (25,80,110)
с данной кошки установлен IPsec тоннель на такую-же. тоннель в порядке и сети друг друга видят (фильтров никаких нет)
но вот с доступом к проброшенным портам вонзили проблемы - из тоннеля они недоступны. (по портам которые не проброшены во вне сервер доступен)

совладеть ощущение, что пакет приходит на север со стороны тоннеля, а вот обратно не ложиться и улетает во "вне"

вот что показала таблица nat

tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:43266 94.159.96.45:43266
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47134 94.159.96.45:47134
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47231 94.159.96.45:47231
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:61723 94.159.96.45:61723
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:64225 94.159.96.45:64225
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:10392 192.2.2.102:10392
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:11892 192.2.2.102:11892
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197

соответственно:
109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован в 8888)
192.0.2.30 - внутренний адрес сервера
192.2.2.102 - адрес клиента со стороны тоннеля

Как это пофиксить?

• Проблема доступа к проброшенным портам из тоннеля,Merridius, 14:31 , 17-Сен-15
  • Проблема доступа к проброшенным портам из тоннеля,Doc, 14:48 , 17-Сен-15
    • Проблема доступа к проброшенным портам из тоннеля,Roman, 15:41 , 17-Сен-15

>[оверквотинг удален]
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:11892 192.2.2.102:11892
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197
> соответственно:
> 109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован
> в 8888)
> 192.0.2.30 - внутренний адрес сервера
> 192.2.2.102 - адрес клиента со стороны тоннеля
> Как это пофиксить?

Описать через Route-map трафик, который не нежно натить.

>[оверквотинг удален]
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
>> tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197
>> соответственно:
>> 109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован
>> в 8888)
>> 192.0.2.30 - внутренний адрес сервера
>> 192.2.2.102 - адрес клиента со стороны тоннеля
>> Как это пофиксить?
> Описать через Route-map трафик, который не нежно натить.

уже имеется вот такой
access-list 111 permit ip 192.0.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 111 permit ip 192.2.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 111 permit ip 192.10.0.0 0.0.255.255 192.1.0.0 0.0.255.255
access-list 112 permit ip 192.0.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 112 permit ip 192.1.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 112 permit ip 192.10.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 121 permit ip 192.0.0.0 0.3.255.255 192.10.1.0 0.0.0.255
access-list 122 permit ip 192.0.0.0 0.3.255.255 192.10.2.0 0.0.0.255
access-list 123 permit ip 192.0.0.0 0.3.255.255 192.10.3.0 0.0.0.255
access-list 124 permit ip 192.0.0.0 0.3.255.255 192.10.4.0 0.0.0.255

route-map IPSEC_1 permit 10
match ip address 111 112 121 122 123 124

чтобы обойти подобную ерунду использовал следующее:

вариант 1
на сервере настраиваем дополнительный ip и используем его только для натирования.
вариант 2
используем связку gre+ipsec или ipip+ipsec.
интерфейс тунеля (gre) не использует натирования как следствие всё замечательно.