Динамическая криптокарта Cisco VPN

Я пытаюсь настроить наш Cisco asa 5505 для удаленного доступа к VPN с предварительным общим ключом IKEv1, поэтому я могу получить доступ с помощью собственного VPN-клиента Windows, используя туннель L2TP / IPsec.

У нас есть предварительный общий ключ IKEv1 с уже настроенным идентификатором группы, но, поскольку Windows не поддерживает идентификатор группы, мне нужно использовать группу DefaultRA.

Мне удалось завершить Фазу 1 после добавления правильной политики IKEv1. Но чтобы исправить проблему несоответствия на этапе 2, я понял, что мне нужно добавить транспортный пакет ESP-3DES-SHA-TRANS, установленный в динамическую криптокарту.

Проблема в следующем: после добавления правильного набора преобразований (ESP-3DES-SHA-TRANS) в криптокарту с помощью asdm маршрутизатор отказывается пропускать любой трафик в Интернет… Не только трафик VPN, но и весь трафик. Я пробовал два раза, оба раза нужно было перезапустить брандмауэр, чтобы он снова заработал.

Не уверен, стоит ли публиковать текущую конфигурацию. У нас нет расширенной маршрутизации, просто статический маршрут снаружи. У нас есть еще один межсайтовый VPN, использующий статическую криптокарту. Но это не должно повлиять.

Есть идеи, что могло вызвать такое поведение? Какова команда cli для добавления этого набора преобразований на криптокарту?