Здраствуйте!
Где я неправ? Обьясните мне пожалуйста.  
Делаю на vpn клиенте
VPN_Client>tracert 81.x.xxx.xxx
1  *  *  *  ip access-list extended 101
^C

На Cisco>debug ip icmp
Feb 27 01:48:19.558: ICMP: dst (81.x.xxx.xxx) port unreachable sent to 10.141.1.140

где 10.141.1.140 ip компьютера где vpn клиент(с которого делали ping)

ACL:
!
permit icmp any any echo
permit icmp any any echo-reply
permit udp any any eq echo
permit udp any eq echo any
permit tcp any any established
permit tcp any any
permit ip any any
!

interface GigabitEthernet0/0
description PPTP clients
ip address 10.141.1.249 255.255.255.0
ip nat inside

interface GigabitEthernet0/1
ip address 81.x.xxx.xxx 255.255.255.xxx
ip access-group 101 out
ip nat outside

interface Loopback0
description PPPoE users
ip address 192.168.1.1 255.255.255.0
ip nat inside

interface Virtual-Template1
ip unnumbered Loopback0
ip access-group 101 in
ip nat inside
peer default ip address pool PPPoE
ppp authentication pap chap Xxxxxxx-AUTH

• port unreachable,Stell, 17:00 , 06-Июл-09
  • port unreachable,enb83, 06:11 , 07-Июл-09

>где 10.141.1.140 ip компьютера где vpn клиент(с которого делали ping)

Вы делаете не пинг, а traceroute
traceroute делается двумя способами:
Через ICMP echo request (ping)
Через UDP пакеты.

В случае ICMP отправляющая сторона ожидает получить echo reply. В случае UDP ожидает получить как раз port unreachable - т.е. пакет дошел до адреса назначения, но этот порт никто не слушает.
Вам надо разрешить эти сообщения в сторону клиента
permit icmp any any port-unreachable

заработало после изменения ACL и после команды
ip  routing