Соединяем два устройства небезысвестной фирмы через тырнет. Простенько без наворотов.
Ваялось всё на cisco 2911  System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1).

С лицухами такими:

Technology Package License Information for Module:'c2900' 

-----------------------------------------------------------------
Technology    Technology-package           Technology-package
              Current       Type           Next reboot  
------------------------------------------------------------------
ipbase        ipbasek9      Permanent      ipbasek9
security      securityk9    Permanent      securityk9
uc            None          None           None
data          None          None           None

CISCO № 1

Объявляем политику и описываем её.

  (config)#crypto isakmp policy 1
                   encr aes 256
                   authentication pre-share
                   group 2
                   lifetime 3600

Создаём ключ аутентификации вместе с ключевой строкой

  (config)#crypto isakmp key ОЧЕНЬСЛОЖНЫЙКЛЮЧ address АДРЕСНАЗНАЧЕНИЯ

Настраиваем окно шлюза

  (config)#crypto ipsec security-association replay window-size 128

Настраиваем IPSEC transform set политику

  (config)#crypto ipsec transform-set ИМЯНАШЕЙПОЛИТИКИ esp-aes 256 esp-sha-hmac
                   mode transport require

Обозначаем время жизни

  (config)#crypto isakmp keepalive 10 10

Чистим DF биты для инкапсулированных пакетов

  (config)#crypto ipsec df-bit clear

Ваяем карту, можно идти и другим путём, но я ваяю карту. Такой я упоротый.

  (config)#crypto map ИМЯНАШЕЙКАРТЫ 200 ipsec-isakmp
                   set peer АДРЕСНАЗНАЧЕНИЯ
                   set security-association lifetime seconds 21600
                   set transform-set ИМЯНАШЕЙПОЛИТИКИ
                   set pfs group2
                   match address НОМЕРACCESSЛИСТА

Создаём интерфейс

  (config)#interface Tunnel0
                   ip address 172.16.0.1 255.255.255.252
                   ip virtual-reassembly in
                   ip tcp adjust-mss 1396
                   tunnel source АДРЕСНАШВНЕШНИЙ
                   tunnel mode ipip
                   tunnel destination АДРЕСНАЗНАЧЕНИЯ

Вешаем крипто на внешний интерфейс

  (config)#interface ИМЯВНЕШНЕГОИНТЕРФЕЙСА
                  crypto map ИМЯНАШЕЙКАРТЫ

Создаём лист доступа

  (config)#access-list НОМЕРACCESSЛИСТА permit ip host АДРЕСНАШВНЕШНИЙ host АДРЕСНАЗНАЧЕНИЯ
  (config)#access-list НОМЕРACCESSЛИСТА permit ip host АДРЕСНАЗНАЧЕНИЯ host АДРЕСНАШВНЕШНИЙ

Кидаем рельсы

  (config)#ip route ВНУТРЕННЯЯСЕТЬУДАЛЁННАЯ  МАСКАСЕТИУДАЛЁНОЙ Tunnel0

В принципе всё на первом, ну а на втором делаем эдентичные настройки кроме, естественно, ип адреса на интерфейсе тунеля. Там пишем 172.16.0.2 адресок и радуемся. Если что-то не получилось, предполагаю, что что-то сделано не так как написано тут или сделано кое что ещё.
Надеюсь ничего не забыл и не перепутал, со мной такое бывает. 
Enjoy!