Всем привет. Есть cisco asa 5520 Version 8.0(3)6
Есть идея сделать для юзеров прозрачный прокси с применение WCCP.
Делал по доке сквидовской (в принципе доки много, везде все одинаково): http://wiki.squid-cache.org/ConfigExamples/Intercept/CiscoAs...

Сквид стоит в inside сети. На АСЕ настроена трансляция:
static (inside,outside) 212.x.x.x 192.168.111.241 netmask 255.255.255.255

с самомо сквида инет есть, а вот у юзеров - нет. в качестве шлюза юзеру ставлю IP АСЫ.
причем судя по статистике АСЫ она трафик на сквид заворачивает:
asa# sh wccp                        

Global WCCP information:
    Router information:
        Router Identifier:                   212.x.x.x
        Protocol Version:                    2.0

    Service Identifier: web-cache
        Number of Cache Engines:             1
        Number of routers:                   1
        Total Packets Redirected:            1078
        Redirect access-list:                wccp_redirect
        Total Connections Denied Redirect:   84
        Total Packets Unassigned:            38
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total Bypassed Packets Received:     0

asa# sh running-config | include wccp
access-list wccp_redirect extended deny ip host 192.168.111.241 any
access-list wccp_redirect extended permit tcp 192.168.111.0 255.255.255.0 any eq www
wccp web-cache redirect-list wccp_redirect
wccp interface inside web-cache redirect in

asa# sh access-list wccp_redirect
access-list wccp_redirect; 2 elements
access-list wccp_redirect line 1 extended deny ip host 192.168.111.241 any (hitcnt=84) 0xda127494
access-list wccp_redirect line 2 extended permit tcp 192.168.111.0 255.255.255.0 any eq www (hitcnt=1449) 0x2806159f

наверняка не делаю какую-нить мелочь, но уже замучился искать. Кто настраивал эту связку, подскажите плиз в чем косяк ?