Добрый день.

Есть проблема с организацией vpn-соединения между офисом и филиалом.
Схема подключения такова:

LAN 10.0.0.0/8 --- Cisco 3825 ---INTERNET----  Vigor Draytek--- LAN 192.168.100.32/28

Первая фаза IPSec проходит успешно, а вот вторая, при которой криптуются пакеты - нет.

debug cry ipsec показывает данную ошибку
IPSEC(epa_des_crypt): decrypted packet failed SA identity check

При этом sh cry ipsec

#send errors 0, #recv errors 528

На форумах говорят. что данная проблема связана с ошибками в access-list, но я уже 100 раз на них смотрел и не вижу ошибки.

Любые идеи - welcome.

Конфиги cisco:

crypto isakmp policy 23
encr aes
authentication pre-share
group 2
lifetime 28800
crypto isakmp key 123123 address 11.11.11.11 no-xauth

crypto ipsec transform-set 24_AES-SHA esp-aes esp-sha-hmac
crypto map A24 23 ipsec-isakmp
set peer 11.11.11.11
set transform-set 24_AES-SHA
match address 123

ip nat inside source list AL interface fa 0/1 overload

access-list 123 permit ip 10.0.0.0 0.255.255.255 192.168.100.32 0.0.0.15
access-list 123 deny   ip any any

ip access-list extended AL
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
permit ip any host 11.11.11.11
deny   ip any any

int fa 0/0
ip nat inside
ip address 10.1.11.1 255.0.0.0

int fa 0/1
ip nat outside
ip address ***********
crypto map A24

На Vigor сконфигурирована подcеть 192.168.100.32/28 с правильной маской, логи неинформативны.