вопрос по АСА 8,2 сеть 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.10.0/24 (не доступен), хотя сеть  с такими же настройками 192.168.0.0/24 - dynamic NAT - 172.16.0.0/24 - IPSEC VPN - 10.10.20.0/24 (доступен). Packet tracer тестовый трафик прогоняет по ACL, NAT и Ipsec успешно. ACLы, собирающие интересный трафик для NAT и IPSEC, идентичны. По sh xlate и conn соединений к 10.10.10.0/24 нет. Вопрос при настройке NAT, если в одной сессии к серверу1 IP хоста транслируется NAT, то для другой одновременной сессии будет проходить трансляция с использованием PAT? С АСЫ все хосты вижу, с хостов до 10.10.10.0/24 трассировка только шлюза, такое ощущение что проблемный трафик идет мимо NAT. Помогите настроить NAT нормально!!!

sh conn
ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.10.25:0, idle 0:00:00, bytes 123808
ICMP CORP 172.16.0.80:1 TO-SAP-INT 10.10.20.39:0, idle 0:00:00, bytes 32
TCP CORP 172.16.0.246(192.168.0.62):52063 TO-SAP-INT 10.10.20.24:3200, idle 0:09:53, bytes 846347, flags UIOB
TCP CORP 172.16.0.226(192.168.0.27):50606 TO-SAP-INT 10.10.20.24:3200, idle 0:04:38, bytes 74197418, flags UIOB

sh xlate
Global 172.16.0.80 Local 192.168.0.80
Global 172.16.0.246 Local 192.168.0.62
Global 172.16.0.226 Local 192.168.0.27

nat:
global (TO-SAP-INT) 1 172.16.0.1-172.16.0.253 netmask 255.255.255.0
global (TO-SAP-INT) 2 172.16.0.254
nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL

sh access-list NAT-TO-SAP-TUNNEL
access-list NAT-TO-SAP-TUNNEL line 1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list NAT-TO-SAP-TUNNEL line 2 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0

access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.10.0 255.255.255.0
access-list SAP-PEER-1 extended permit ip 172.16.0.0 255.255.255.0 10.10.20.0 255.255.255.0
crypto map TO-SAP 20 match address SAP-PEER-1

packet-tracer input CORP tcp 192.168.0.80 7777 10.10.10.0 443

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.10.10.0 255.255.255.0   TO-SAP-INT

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: INSPECT
Subtype: np-inspect
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
 inspect waas
service-policy global_policy global
Additional Information:

Phase: 6
Type: FOVER
Subtype: standby-update
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (CORP) 1 access-list NAT-TO-SAP-TUNNEL
 match ip CORP 192.168.0.0 255.255.255.0 TO-SAP-INT 10.10.10.0 255.255.255.0
   dynamic translation to pool 1 (172.16.0.1 - 172.16.0.253)
   translate_hits = 1665, untranslate_hits = 22
Additional Information:
Dynamic translate 192.168.0.0/0 to 172.16.0.80/0 using netmask 255.255.255.255

Phase: 8
Type: VPN
Subtype: encrypt
Result: ALLOW
Config:
Additional Information:

Phase: 9
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:

Phase: 10
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 11
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 32293898, packet dispatched to next module

Result:
input-interface: CORP
input-status: up
input-line-status: up
output-interface: TO-SAP-INT
output-status: up
output-line-status: up
Action: allow

есть security cisco ccnp?

8-800-301-32-31

espd_ce@rt.ru
Советуют сюда обратится с проблемой.

А чего здесть  CCNP-шного?

ну или ccna sec

пускаю udp пакеты до пролемного сервера, трансляции нет, пытается тупо лезть в впн, где его рубят

У вас VPN матчит конкретный траф?

да

чтобы не беспокоить тех, кто обслуживает второй конец, 172 сетку взял, и на него матчу свои сети.

аса-гад тестит пакеты и пропускает норм

TO-SAP-INT - что у вас за туннель туда?

да

ASA же не умеет в интерфейсы

к серверам

В контексте IPSEc

крптомапа висит на ней

Возвращаясь к вашему исходному вопросу, насколько я его понял:
В вашем конфе все выглядт нормально.
Пробовали матчить в трейсер требуемый трафик?

Траф в вашей конфе должен транслироваться по адресам, порты остаются.

да, и он проходит)