необходимо на cisco разрешить доступ для работы клиента локальной сети с удаленной сетью по vpn (ipsec) для этого надо открыть хождение по протоколам 50 - протокол ESP  и 51 - протокол AH. чтоыб открыть порты я использовал констуркцию вида:
ip nat inside source static tcp 192.168.1.2 51 interface Ethernet0/1 51.
А как корректнор написать не для порта 51 а  для протокола 51?

• работа с vpn через cisco (открытие портов),Сайко, 16:28 , 24-Дек-04
• работа с vpn через cisco (открытие портов),xRAMx, 14:23 , 28-Дек-04
  • работа с vpn через cisco (открытие портов),kesha, 10:24 , 29-Дек-04

>ip nat inside source static tcp 192.168.1.2 51 interface Ethernet0/1 51.
Удалите это! При чем тут NAT? и тем более TCP?

Router(config)#ip access-list extended 101
Router(config-ext-nacl)#permit ?  
  <0-255>  An IP protocol number
  ahp      Authentication Header Protocol
  eigrp    Cisco's EIGRP routing protocol
  esp      Encapsulation Security Payload
  gre      Cisco's GRE tunneling
  icmp     Internet Control Message Protocol
  igmp     Internet Gateway Message Protocol
  igrp     Cisco's IGRP routing protocol
  ip       Any Internet Protocol
  ipinip   IP in IP tunneling
  nos      KA9Q NOS compatible IP over IP tunneling
  ospf     OSPF routing protocol
  pcp      Payload Compression Protocol
  pim      Protocol Independent Multicast
  tcp      Transmission Control Protocol
  udp      User Datagram Protocol

Чем не подходит строчка "<0-255>  An IP protocol number"?

Может проще access-list на Ethernet0/1 повесить, где закрыть всё, что не нужно?

>Может проще access-list на Ethernet0/1 повесить, где закрыть всё, что не нужно?
>
Народ, вы что, говорите? Что закрывать если у человека и так оно не работает? У человека внутри сетка 192.168.х.х а на Ethernet висит видимо реальный IP. Как ему без NAT обойтись???

Могу только предложить строить IPSEC между кошками.