nat transparency and %CRYPTO-4-RECVD_PKT_INV_SPI

[d...@belkam.com]

Добрый день!

Hадо сделать vpn поверх интернета.
с одной стороны cisco 3845 с прямым соединением.

С другой строны 2801 за натом в виде adsl модема zyxel

sh crypto sess на 2801:

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 78.85.33.237 port 4500
IKE SA: local 192.168.107.1/4500 remote 78.85.133.237/4500 Active
IPSEC FLOW: permit 47 0.0.0.0/0.0.0.0 host 78.85.133.237
Active SAs: 6, origin: crypto map

sh crypto sess на 3845:

Interface: Serial3/0.200
Session status: UP-ACTIVE
Peer: 78.85.137.90 port 10017
IKE SA: local 78.85.133.237/4500 remote 78.85.137.90/10017 Active
IPSEC FLOW: permit 47 host 78.85.133.237 0.0.0.0/0.0.0.0
Active SAs: 6, origin: crypto map

Все бы хорошо, но трафик не проходит:

%CRYPTO-4-RECVD PKT INV SPI: decaps: rec'd IPSEC packet has invalid
spi for destaddr=192.168.107.1, prot=17, spi=0x32040000(839122944),
srcaddr=78.85.133.237

NAT-T включен:

crypto ipsec nat-transparency udp-encapsulation

Может кто-то знает в чем дело?