Всем привет!
Есть ASA 5510 ver. 8.2 и PIX501 ver. 6.3, между ними настроен туннель.
ASA имеет подсеть 10.1.0.0 255.255.0.0 и PIX 192.168.7.0/24
Настроены ACL для подсетей, настроены NONAT на обеих сторонах, наложены криптокарты на  interface outside, туннель поднимается.
На обеих сторонах на interface outside публичный внешний ip, есть единственная команда route и она выглядит как route outside 0.0.0.0 0.0.0.0 **.**.***.** 1 на шлюз провайдера.
Если к PIX подключить ПК в любой порт inside, настроить в ПК IP из подсети 192.168.7.* и шлюзом указать PIX то в обе стороны пинги успешно проходят, с ПК подключенного к PIX видны через туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой траффик ходит благодаря ACL и NONAT для криптокарты.
Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, подключенному к PIX будет указан шлюзом не PIX а любое другое устройство в подсети 192.168.7?
По факту если шлюз не PIX то ничего не работает, можно только пингануть ASA на той стороне (management interface from inside включен) и наоборот сам PIX со стороны ASA. Но никакие другие IP в 192.168.7 из inside ASA через туннель не видны.