Добрий день.
Пытаюсь реализовать следующее - есть удаленная сеть за ipsec - 10.10.10.0/24, есть мой сервер 192.168.0.2, из удаленной сети ко мне обращаются как к 192.168.168.1 (тунель ipsec - 192.168.168.1/32 10.10.10.0/24). Думаю что нужно сделать нат 192.168.0.2-192.168.168.1 для трафика из 192.168.0.2 в 10.10.10.0/24 и наоброт.

Пробую так:

#создал интерфейс для нат 
interface loopback 1
 ip address 192.168.168.1 255.255.255.255
 ip nat outside
#включил нат на вн итнерфейсе
interface GigabitEthernet0/0
 ip address 192.168.0.1 255.255.255.255
 ip nat inside
#это для ipsec
ip access-list extended access-ipsec
 permit ip host 192.168.168.1 10.10.10.0 0.0.0.255
#указал что удаленная сеть за интерфейсом
ip route 10.10.10.0 255.255.255.0 Loopback1
#это для трансляции адресов
access-list extended  int-ip-ext-lan-nat 
    permit ip host 192.168.0.2 10.10.10.0 0.0.0.255
ip nat pool ext-ip-pool 192.168.168.1 192.168.168.1 netmask 255.255.255.252
ip nat inside source list int-ip-ext-lan-nat pool ext-ip-pool overload

на 192.168.0.2 делаю:
traceroute 10.10.10.1
1  192.168.0.1 (192.168.0.1)  0.945 ms  0.990 ms  1.129 ms^C

ping 10.10.10.1

на 192.168.0.1
sh ip nat tra - пусто
sh ip access-lists int-ip-ext-lan-nat - тоже ниодного вхождения нет.

Подскажите как выполнить данную задачу.