Доброе время суток!

Есть 2 девайса - ASA 5510 и Cisco 881. Между ними поднят сайт2сайт VPN.
Cryptomap поднят, но есть проблема - из хоста, которы висит за роутером доступны хосты висящие за ASA, есть пинг, доступен веб, а из хостов за ASA нет доступа на хостах за роутером.
Подскажите плз, куда копать?
С уважением!

• 881 ASA VPN,Mirage_sk, 00:36 , 27-Июн-14

> Доброе время суток!
> Есть 2 девайса - ASA 5510 и Cisco 881. Между ними поднят
> сайт2сайт VPN.
> Cryptomap поднят, но есть проблема - из хоста, которы висит за роутером
> доступны хосты висящие за ASA, есть пинг, доступен веб, а из
> хостов за ASA нет доступа на хостах за роутером.
> Подскажите плз, куда копать?
> С уважением!

Вот и конфиг 881:

crypto isakmp policy 10
encr aes 192
authentication pre-share
group 2

crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX address xx.xx.xx.xx
crypto isakmp aggressive-mode disable

crypto ipsec transform-set VPN esp-aes 192 esp-sha-hmac
mode tunnel

crypto map VPN_MAP 10 ipsec-isakmp
set peer xx.xx.xx.xx
set transform-set VPN
match address VPN_ACL

ip access-list extended VPN_ACL
permit ip 192.168.2.0 0.0.0.255 10.10.0.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 10.10.0.0 0.0.0.255
permit ip host 172.30.1.1 10.37.0.0 0.0.0.255
permit ip 10.10.0.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 10.10.0.0 0.0.0.255 host 172.30.1.1

ip access-list extended NAT
deny   ip 192.168.2.0 0.0.0.255 10.10.0.0 0.0.0.255
deny   ip 10.10.0.0 0.0.0.255 192.168.2.0 0.0.0.255
deny   ip 192.168.3.0 0.0.0.255 10.10.0.0 0.0.0.255
deny   ip 10.10.0.0 0.0.0.255 192.168.3.0 0.0.0.255
deny   ip host 172.30.1.1 10.10.0.0 0.0.0.255
deny   ip 10.10.0.0 0.0.0.255 host 172.30.1.1
permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
permit ip 192.168.4.0 0.0.0.255 any
permit ip 192.168.5.0 0.0.0.255 any