Добрый день!
Имеется необходимость поднять очередной IPSec туннель между двумя организациями.
Имеется две маленькие изюминки:
1. На дальней стороне нет полноценного маршрутизатора, а есть только PIX501
2. С моей стороны сеть, которой требуется доступ к дальней приватной сети является публичной

Ранее имел дело с приватными сетями и двумя маршрутизаторами. Поднимал Tunnel интерфейсы, закрывал их IPSec и все было нормально, а тут PIX с урезанными возможностями.

Почитал пример организации IPSec между циско роутером и пиксом вот тут: http://www.ciscolab.ru/security/ipsec/152-pixrouter.html

но не могу переложить конфигурацию для своих нужд, когда с моей стороны не приватные адреса.

Имею:
Fa2/0 подключенный к провайдеру, соответственно ip nat outside
Fa0/0 в локалку с приватными адресами, соответственно ip nat inside
Fa0/1 в DMZ с публичными адресами, соответственно ip nat inside без роутмапа

Публичные адреса с моей стороны и стороны провайдера маршрутизированы static роутами.

Подумал следующую конфигурацию 7200:

!полиси
crypto isakmp policy 4
hash md5
authentication pre-share
crypto isakmp key ключтакойто address внешний.публичный.адрес.пикса

!трансформсет
crypto ipsec transform-set мойтрансформсет esp-des esp-md5-hmac

!создаю аксесслист для разрешения трафика между моим DMZ и их приватной сетью
ip access-list extended такойтолист
permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255

А вот дальше пока затык... Мыслю так:
crypto map моймап 10 ipsec-isakmp
set peer внешний.публичный.адрес.пикса
set transform-set мойтрансформсет
match address такойтолист

ip access-list extended разрешенныйтрафик
permit ip моя.дмз.подсеть.такаято 0.0.0.15 их.приватная.подсеть.такаято 0.0.0.255

route-map такойто permit 10
match ip address разрешенныйтрафик

потом по идее по докам надо на  интерфейс к провайдеру повесить crypto map моймап
но вот куда вешать - непонятно... или на f2/0 который канальный или на f0/1 который в дмз...

в общем нид хелп, мысль застряла %)