pix 501 - problema de sub-rede VPN site a site

Eu configurei um túnel VPN site a site que está funcionando como eu gostaria. Eu configurei rotas persistentes nos PCs em cada extremidade que precisam se comunicar. As sub-redes são as seguintes:

Site 1: 10.0.0.0/11 Site 2: 192.168.200.0/24

Estou tendo problemas quando tento acessar o site 2 a partir do site 1 em um pc com um ip começando com algo diferente de 10.0.xx. Por exemplo, se meu pc estiver configurado com ip 10.0.0.77/11, posso acessar o site 2. Se está configurado com 10.1.100.1/11, não consigo. Parece-me que o pix está forçando a máscara de sub-rede do site 1 a ser 255.255.0.0 em vez de 255.224.0.0.

Alguém está ciente de que este é o caso e como contornar isso?

Minhas configurações em execução são:

Executando a configuração do Site 1:

PIX Versão 6.3 (4)
interface ethernet0 interface automática
ethernet1 100nome completo se
ethernet0 fora da segurança0
nome se ethernet1 dentro da segurança100
ativar senha sdf4536gdsfgsd
senha criptografada 3425sdfsdfg2345
nome de host criptografado nosso
nome de domínio do lado domínio.com
protocolo de correção dns comprimento máximo 512
protocolo de correção ftp 21
protocolo de correção h323 h225 1720
protocolo de correção h323 ras 1718-1719
protocolo de correção http 80
protocolo de correção rsh 514
protocolo de correção rtsp 554
protocolo de correção sip 5060
protocolo de correção sip udp 5060
protocolo de correção skinny 2000
protocolo de correção smtp 25
protocolo de correção sqlnet 1521 nome
do protocolo de correção tftp 69
nomes
192.168 .200.0 nome_da_rede
10.0.0.8
nome svr1 10.0.0.245 nome svr2
10.0.0.248 nome svr3
10.0.0.235 lista de acesso da impressora
inside_outbound_nat0_acl permitir ip 10.0.0.0 255.224.0.0 rede_suas 255.255. 255.0 lista de acesso outside_cryptomap_20 permitir ip 10.0.0.0 255.224. 0.0 sua_rede 255.255.255.0
lista de acesso outside_access_in permitir tcp sua_rede 255.255.255.0 qualquer eq www
lista de acesso outside_access_in permitir tcp sua_rede 255.255.255.0 qualquer eq https
lista de acesso outside_access_in permitir tcp sua_rede 255.255.255.0 host s lista de acesso de domínio vr2 eq
permissão outside_access_in udp sua_rede 255.255.255.0 host svr2
lista de acesso de domínio eq outside_access_in permitir udp sua_rede 255.255.255.0 qualquer lista de acesso eq ntp
outside_access_in permitir tcp sua_rede 255.255.255.0 host svr3 eq ssh
lista de acesso outside_access_in permitir icmp sua_rede 255.255.255.0 qualquer
lista de acesso inside_access_in permitir tcp qualquer sua_rede 255.255.255.0 eq
lista de acesso ftp inside_access_in permitir icmp qualquer sua_rede 255.255.255.0
lista de acesso inside_access_in permitir tcp host svr2 sua_rede 255.255.255.0 eq
lista de acesso de domínio inside_access_in permitir udp host svr2 rede 255.255.255.0 eq domínio
acesso -list inside_access_in permitir tcp host svr1 sua_rede 255.255.255.0 eq ssh
lista de acesso inside_access_in permitir udp qualquer eq ntp sua_rede 255.255.255.0
lista de acesso inside_access_in observação solicitada para gerenciamento remoto
lista de acesso inside_access_in permitir tcp qualquer sua_rede 255.255.255.0 3389
acesso- lista inside_access_in observação rsync svr1 para construir
lista de acesso do servidor inside_access_in permitir tcp host svr1 their_network 255.255.255.0 eq 873
linhas de pager 24
icmp permitir qualquer externo
icmp permitir qualquer interno
mtu fora de 1500
mtu dentro de 1500
endereço ip fora 219.148.111.77 255.255.255.192
endereço ip dentro de 10.0.0.4 255.224.0.0
ip auditoria informações ação alarme
ip auditoria ataque ação alarme
pdm localização 10.0.0.0 255.224.0.0 dentro
pdm localização sua_rede 255. 255.255.0 fora
localização do pdm svr2 255.255.255.255 dentro da
localização do pdm svr1 255.255.255.255 dentro da
localização do pdm svr3 255.255.255.255 dentro
da localização do pdm awe_printer 255.255.255.255 dentro
do histórico do pdm ativar
o tempo limite do arp 14400
global (fora ) 1 interface
nat (dentro) 0 lista de acesso inside_outbound_nat0_acl
nat (dentro) 1 0.0.0.0 0.0.0.0 0 0
grupo de acesso outside_access_in na interface fora
do grupo de acesso inside_access_in na interface dentro da
rota externa 0.0.0.0 0.0.0.0 219.148.111.77 255
timeout xlate 3:00:00
timeout conn 1:00 :00 semifechado 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
tempo limite h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0: 02:00
tempo limite uauth 0:05:00
servidor aaa absoluto TACACS+ protocolo tacacs+
servidor aaa TACACS+ máximo de tentativas com falha 3
servidor aaa TACACS+ tempo morto 10
raio do protocolo RADIUS do servidor
aaa raio do servidor aaa RADIUS máximo de tentativas com falha 3
aaa -server RADIUS deadtime 10
aaa-server Protocolo LOCAL servidor
http local ativar
http 10.0.0.0 255.224.0.0 dentro
sem localização do servidor snmp
sem contato do servidor
snmp comunidade do servidor snmp público
sem servidor snmp ativar armadilhas
proteção contra inundação ativar
conjunto de transformação cripto ipsec ESP-3DES-MD5 esp-3des esp-md5-hmac
mapa criptográfico outside_map 20 ipsec-isakmp
crypto map outside_map 20 endereço de correspondência outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.76
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto mapa outside_map interface fora do
isakmp habilitar
chave isakmp externa ******** endereço 219.148.111.76 máscara de rede 255.255.255.255 no-xauth no-config-mode
política isakmp 20 autenticação pré-compartilhamento
política isakmp 20 criptografia 3des
política isakmp 20 hash md5
política isakmp 20 grupo 2
política isakmp 20 vida útil 86400
tempo limite de telnet 5
tempo limite de ssh 5
tempo limite de console 0
nome de usuário usuário1 senha asdfafddafaf privilégio criptografado 15
largura do terminal 80
Cryptochecksum:43dfhsd34fghh
: fim
[OK]

Executando configuração do Site 2:

PIX versão 6.3 (4)
interface ethernet0 100
interface completa ethernet1 100
nome completo se ethernet0 fora da segurança0
nome se ethernet1 dentro da segurança100
senha de ativação iCEghfhgeC10Q80xp
senha criptografada iCEghgfhC10Q80xp
nome de host criptografado vietnã-nome de domínio do lado deles
domínio1.com
protocolo de correção dns comprimento máximo 512
protocolo de correção ftp 21
protocolo de correção h323 h225 1720
protocolo de correção h323 ras 1718-1719
protocolo de correção http 80
protocolo de correção rsh 514
protocolo de correção rtsp 554
protocolo de correção sip 5060
protocolo de correção sip udp 5060
protocolo de correção skinny 2000
protocolo de correção smtp 25
protocolo de correção sqlnet 1521
protocolo de correção tftp 6 9
nomes
nome 10.0.0.0 nossa_rede
lista de acesso acl_inside permitir tcp 192.168.200.0 255.255.255.0 host 219.148.111.76 eq www
lista de acesso inside_outbound_nat0_acl permitir ip 192.168.200.0 255.255.255.0 nossa_rede 2 55.224.0.0
lista de acesso outside_cryptomap_20 permitir ip 192.168.200.0 255.255. 255.0 our_network 255.224.0.0
lista de acesso outside_access_in permitir icmp our_network 255.224.0.0 qualquer
linha de pager 24
icmp permitir qualquer externo
icmp permitir qualquer interno
mtu externo 1500
mtu interno 1500
endereço IP externo 219.148.111.76 255.255.255.192
endereço IP interno 192.168.200.1 255.255. 255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.160.0.0 255.224.0.0 inside
pdm location our_network 255.224.0.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat ( dentro) 1 0.0.0.0 0.0.0.0 0 0
grupo de acesso outside_access_in na interface fora
da rota fora 0.0.0.0 0.0.0.0 219.148.111.76 1
tempo limite xlate 3:00:00
tempo limite conexão 1:00:00 meio fechado 0:10 :00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
tempo limite h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
tempo limite uauth 0:05 :00
servidor aaa absoluto TACACS+ protocolo tacacs+
servidor aaa TACACS+ máximo de tentativas com falha 3
servidor aaa TACACS+ tempo morto 10
servidor aaa raio do protocolo RADIUS raio
do servidor aaa RADIUS máximo de tentativas com falha 3
servidor aaa tempo morto RADIUS 10
servidor aaa Protocolo LOCAL
autenticação aaa local console ssh LOCAL
servidor http habilitado
http our_network 255.224.0.0 fora de
http 192.168.200.0 255.255.255.0 dentro de
nenhuma localização do servidor snmp
sem contato do servidor
snmp comunidade do servidor snmp público
sem servidor snmp ativar armadilhas proteção
contra inundação ativar
permissão de conexão sysopt-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hma
mapa criptográfico outside_map 20 ipsec-isakmp
mapa criptográfico outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer 219.148.111.77
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address 219.148.111.77 netmask 255.255.255.255 no-xauth no-c onfig-mode
política isakmp 20 autenticação pré-compartilhamento
política isakmp 20 criptografia 3des
política isakmp 20 hash md5
política isakmp 20 grupo 2
política isakmp 20 vida útil 86400
telnet timeout 5
ssh 192.168.200.0 255.255.255 .0 dentro
tempo limite de ssh 60
tempo limite do console 0
nome de usuário usuário1 senha tjqqn/L/teN49dfsgsdfgZbw privilégio criptografado 15
largura do terminal 80
Cryptochecksum:bf200a9175be27sdfgsfdgdb91320d6df7ce5b21
: fim

Não consigo ver nenhuma máscara incorreta, mas posso estar cego para isso.

Obrigado

Cammy