Несколько IPSec туннелей с crypto-map и NAT'ом внутри туннеля

Некоторое время назад возникла необходимость туннелировать трафик к одному из партнеров, используя внутри туннеля внешнюю адресацию. В результате получился весьма любопытный конфиг, где вместе присутствуют три варианта L2L туннелей: классический с частными подсетями на концах, второй с внешними маршрутизируемыми адресами и третий между частной подсетью и внешним адресом, про него и комментарий:
базовая настройка, вкратце, такова - int fas 0/1 - WAN (IP xxx.xx1.xxx.xxx/27) на нем криптокарта PART_VPN, int fas 0/0 - LAN (IP 192.168.221.0/24), требование, чтобы в сеть партнера 10.201.20.48/28 было обращение с внешнего(их) адреса(ов), требование, конечно, необычное, но нежелание админа с другой стороны маяться с пересекающимися адресными диапазонами (если такие появятся), было понятно. Скорее всего, можно было бы просто взять "левый" адрес, типа 1.253.23.200, но нашлась "честная" подсеть, из которой "одолжили" адресок для поNATить (xxx.xx2.xxx.xxx/26). Получилось неплохо:
int fas 0/1
 ip addr xxx.xx1.xxx.xxx 255.255.255.224
 ip nat out
 crypto-map PART_VPN
 ...
!настройка WAN интерфейса
ip access-list extended NAT
 71 deny   ip 192.168.221.0 0.0.0.255 10.201.20.48 0.0.0.15
! убираем из общего NAT'а туннельный трафик
crypto isakmp policy 60
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
crypto ipsec transform-set PARTNER_VPN6 esp-3des esp-sha-hmac
! определяем параметры фаз
crypto isakmp key *** address yyy.yy1.yyy.yyy no-xauth
! ключ для пира на стороне партнера
ip nat pool IP_FOR_NAT xxx.xx2.xxx.xxx xxx.xx2.xxx.xxx prefix-length 26
ip access-list extended FROM_221_TO_NAT
 permit ip 192.168.221.0 0.0.0.255 10.201.20.48 0.0.0.15
! фильтр для пакетов в подсеть партнера для последующего NAT'а
ip nat inside source list FROM_221_TO_NAT pool IP_FOR_NAT overload
! собственно сама трансляция адресов по фильтру
ip access-list extended VPN6-ACL
 permit ip host xxx.xx2.xxx.xxx 10.201.20.48 0.0.0.15
! так как адрес теперь заNATчен, то его гоним в туннель, как interesting трафик
crypto map PART_VPN 60 ipsec-isakmp
 set peer yyy.yy1.yyy.yyy
 set transform-set PARTNER_VPN6
 set pfs group2
 match address VPN6-ACL
! добавляем запись в криптомап для данного туннеля
Для удобства и понимания, конечно, стоило бы прописать description'ы, особенно, когда в большом конфиге эти настройки разбросаны по разным углам...