на интерфейсе смотрящим в интернет 2 крипто карты, 2 тунеля  
с удаленной сети VPN клиент 10.0.113.0/25 приходит по 1му туннелю
на маршрутизатор cisco, тут его нужно занатить и отправить по 2му туннелю
уже с новым адресом, потому что по туннелю№2 определенные айпи только идут(см. акл2000)

vpn_client-->туннель№1-->туннель№2-->удаленный_сервер
10.0.113.2  |  2 туннеля на cisco |    10.250.0.11

напрмер адрес с сети:  
пришел с 10.0.113.2 ушел в туннель №2 с адресом 10.250.34.129

как сделать не могу сообразить
то что я набрал в конфигурации не работает, не натиться

crypto map CRYPTO 60 ipsec-isakmp
description 1й туннель
set peer XXX.XXX.XXX.XXX
set transform-set 3DES-SHA
match address 2333

crypto map CRYPTO 99 ipsec-isakmp
description 2й туннель
set peer YYY.YYY.YYY.YYY
set transform-set 3DES-SHA
set pfs group2
match address 2000

ip nat pool ATM 10.250.34.129 10.250.34.253 prefix-length 24
ip nat inside source list 102 pool ATM overload

ip route 10.250.0.0 255.255.255.0 шлюз_провайдера

access-list 2333 permit ip host 10.250.0.11 10.0.113.0 0.0.0.127
access-list 2333 permit ip host 10.250.34.17 10.0.113.0 0.0.0.127

access-list 2000 permit ip 10.250.34.0 0.0.0.255 10.250.0.0 0.0.0.255

access-list 102 permit tcp host 10.0.113.2 host 10.250.0.11 eq 3333

10.250.0.0/24 - удаленная сеть
адреса с локальной сети подключенной к маршрутизатору, натяться нормально
и идут по 2му тунелю с нужным адресом из сети 10.250.34.0
а вот VPN клиенты, которые пришли по первому тунелю, не натяться, как их занатить правильно?

Или как можно на loopback интерфейсе, организовать нат? с роутера vpn клиенты 10.0.113.0/24 пингуются только с 10.250.34.17