>Весь конфиг покажите, например я не вижу вообще crypto isakmp policy и

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2

>access-list 112

access-list 112 permit ip host xxx.xxx.xxx.211 xxx.xxx.175.0 0.0.0.7

>А так же:
>sh crypto isakmp sa

dst             src             state          conn-id status
тут инфа про другое vpn соединение

IPv6 Crypto ISAKMP SA

>sh crypto ipsec sa

    local  ident (addr/mask/prot/port): (xxx.xxx.xxx.211/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (xxx.xxx.175.0/255.255.255.248/0/0)
   current_peer xxx.xxx.xxx.145 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: xxx.xxx.xxx.210, remote crypto endpt.: xxx.xxx.xxx.145
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

>
>И в чем конкретно проблема? Не поднимается туннель?

в какой-то момент я смог поднять isakmp, но из-за неправильной конфигурации ipsec всё грохнулось. с тех пор ничего не поднимается
>Не работает NAT как ожидалось?

я не уверен, что я правильно прячу некоторые свои адреса локальной сети за внешним адресом. ну и не уверен, что я правильно понимаю где и какой адрес в acl вписывать.

в 117м - локальный 10.0.10.0/24
в 112й уже внешний xxx.xxx.xxx.211

>Отлаживайте по частям - уберите NAT, повесьте внешний IP на loopback и
>добейтесь сперва чтобы IPSec поднимался, пингуя с loopback'а удаленную сторону. Потом
>приниматься за NAT.

спасибо за совет - думаю, так и попробую сделать.