Возник у меня такой вопрос:

Настроил IPSec tunnel между двумя подсетями через инет.Схема примерно как здесь http://noc.tomsk.ru/tmp/router.png.
В качестве R1 используется SOHO 97 (IOS 12.3),за ним сетка 10.1.5.0/24. В качестве R5 стоит PIX 515E (ver.6.1).R2R3R4 - это интернет.
За пиксом R5 есть есть несколько локальных сетей 10.1.x.x
На пиксе помимо прочего поднят НАТ в инет.
Есть еще один роутер в инет (скажем R6) - через него тоже могут ходить  в инет сети 10.1.х.х.
За пиксом стоит стоит еще одна циска (скажем R7) ,к которой подключена сеть 10.1.1.0/24.
Есть некий адрес в инете 1.2.3.4,на который должны достучаться машины из сети 10.1.5.0 (за R1).

IPSec я настроил для адресов 10.1.5.0/24 - 10.1.1.0/24 и 10.1.5.0/24 - 1.2.3.4. между R1-R5.

Вот на SOHO (R1)
crypto map to-office 20 ipsec-isakmp
description VPN to ofice
set peer real-ip-pix (r5)
set security-association lifetime seconds 21600
set transform-set to-office
match address 101
access-list 101 permit ip 10.1.5.0 0.0.0.255 host 1.2.3.4
access-list 101 permit ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 deny   ip 10.1.5.0 0.0.0.255 host 1.2.3.4

interface BVI1
ip address real-ip-soho(r1) 255.255.255.252
ip nat outside
crypto map to-office
ip nat inside source list 150 interface BVI1 overload

IPSec туннел поднимается нормально. я могу достучаться до хостов в сети 10.1.1.0 из сети 10.1.5.0  и наоборот.
Но из сети 10.1.5.0 не получаю доступа к внешнему инетовскому адресу 1.2.3.4.
Мне требуется пробросить траффик из 10.1.5.0 к 1.2.3.4 через IPSec туннель,занатить его на пиксе R5 или роутере R6  (требуется,чтобы пакеты на адрес 1.2.3.4 пришли под инетовским адресом R5 или R6).

Кто что мне может посоветовать?