Есть сервер который через cisco2911 смотрит в инет на данный сервер проброшено несколько портов из "вне" (25,80,110)
с данной кошки установлен IPsec тоннель на такую-же. тоннель в порядке и сети друг друга видят (фильтров никаких нет)
но вот с доступом к проброшенным портам вонзили проблемы - из тоннеля они недоступны. (по портам которые не проброшены во вне сервер доступен)

совладеть ощущение, что пакет приходит на север со стороны тоннеля, а вот обратно не ложиться и улетает во "вне"

вот что показала таблица nat

tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:43266 94.159.96.45:43266
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47134 94.159.96.45:47134
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:47231 94.159.96.45:47231
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:61723 94.159.96.45:61723
tcp 109.207.173.10:8888 192.0.2.30:80 94.159.96.45:64225 94.159.96.45:64225
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:10392 192.2.2.102:10392
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:11892 192.2.2.102:11892
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14219 192.2.2.102:14219
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:14880 192.2.2.102:14880
tcp 109.207.173.10:8888 192.0.2.30:80 192.2.2.102:16197 192.2.2.102:16197

соответственно:
109.207.173.10 - внешний адрес на который осуществлены пробросы портов (80 порт преобразован в 8888)
192.0.2.30 - внутренний адрес сервера
192.2.2.102 - адрес клиента со стороны тоннеля

Как это пофиксить?