Ну, мусора, ИМНО, много...И вам, точно, надо, чтобы клиент выходил в инет через ваш шлюз?
Если не надо, то:
По топологии, настройте, для начала Split tunnel для VPN клиента.
>
>!
>crypto isakmp client configuration group vpnclient
> key <key>
> dns 192.168.100.110
> domain domain.ru
> pool ippool
Тут добавьте:
include-local-lan
netmask 255.255.255.0
И ACL для Split Tunnel
acl EasyVPN
ip access-list extended EasyVPN
permit ip 192.168.100.0 0.0.0.255 any
>!
>interface Loopback0
> ip address 172.16.250.1 255.255.255.0
> ip nat inside
>!
>interface Ethernet1
> ip address <внешний ip-адрес> 255.255.255.252
> ip access-group 100 in
> ip nat outside
> ip policy route-map VPN-Client
Это вам зачем?
>!
>ip local pool ippool 172.16.251.1 172.16.251.3
>!
>ip nat inside source list 1 interface Ethernet1 overload
>!
>access-list 1 permit 192.168.100.0 0.0.0.255
>access-list 1 permit 172.16.250.0 0.0.0.255
>access-list 1 permit 172.16.251.0 0.0.0.255
Поменяйте ACL на extended и уберите из ната клиента..
ip access-list extended to_nat
deny ip 192.168.100.0 0.0.0.255 172.16.251.0 0.0.0.255
permit ip 192.168.100.0 0.0.0.255 any
>access-list 100 permit ip host <адрес с которого нужно коннектиться vpn-клиентом> any
Добавьте, вместо этого
access-list 100 permit udp any host any eq non500-isakmp
Может чего и упустил.....