>Приватные IP фигурируют с одной стороны (при связи с одним из филиалов),
>именно поэтому приходится прокладывать туннель через центральный офис. На втором филиале
>ИПшники публичные и пользователи НАТятся в Интернет. Там используется другой ACL,
>сюда не выложеный, и в нем указывается что не нужно натить
>от 192.168.8.0 до 192.168.2.0.По неволе будешь телепатом .
Может у Вас еще GRE туннели дополнительно настроены?
crypto isakmp key 0192837465 address 10.0.23.42
crypto isakmp key 0192837465 address 10.1.17.106
Вот эти приватные адреса как попадают на 3845?
>Приведенный роутинг необходим для поднятия туннелей, сколько с IPSecом не работала, они
>всегда были необходимы.
Интересно зачем, если офисы удаленные, связанные публичным Internet?
Для 857: X.X.X.X - это рубличный адрес 3845.
857 имеет отдельный линк с 3845 ?
Для 3845: Y.Y.Y.Y - это адрес 857 ?
Где pre-share key для Y.Y.Y.Y в конфиге 3845?
Микротик имеет IPSec туннель с 3845. Микротик умеет сбрасывать df бит ?
Вы уж пришлите весь конфиг.
Телепаты в отпуске.