Не могу никак настроить сабж. Структура сетки: роутер Cisco служит шлюзом в сети, подрубает к интернету и раздает его с НАТом в сеть 192.168.1.x. Мне нужно прокинуть ssh тунель к хосту внутри сети (например 192.168.1.15:80) через Cisco роутер. Подрубаюсь с внешнего мира к роутеру так: ssh -L 4080:192.168.1.15:80 <user_на_роутере>@<внешний_ip_роутера>. Подключается, ввожу пасс, пытаюсь со своего хоста (с которого выполнял команду) зайти на http://localhost:4080 а там ничего. В консоли с подключением к роутеру при каждой попытке подключиться к http://localhost:4080 выдает строки:

router#channel 3: open failed: resource shortage: router#

и ноль реакции. Аналогично строка w3m -dump http://localhost:4080 ничего не выводит. Конфиг (его часть) openssh-server на машине 192.168.1.15:

AllowTcpForwarding yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes

Конфиг на циске (часть которая хоть как то относится к портам и ACL):

interface Virtual-PPP1 интерфейс к провайдеру

ip address negotiated

ip access-group FIREWALL_IN in

ip access-group FIREWALL_OUT out

ip mtu 1492

ip nat outside

ip inspect INTERNET out

ip virtual-reassembly

ip tcp adjust-mss 1452

load-interval 30

no peer neighbor-route

no cdp enable

ppp authentication chap ms-chap ms-chap-v2 callin

ppp chap hostname что-то

ppp chap password 7 что-то

pseudowire что-то 10 pw-class что-то

!

ip inspect tcp reassembly queue length 128

ip inspect tcp reassembly timeout 1000

ip inspect name INTERNET http timeout 3600

ip inspect name INTERNET tcp timeout 3600

ip inspect name INTERNET udp timeout 15

ip inspect name INTERNET ftp timeout 3600

ip inspect name INTERNET icmp

ip inspect name INTERNET https timeout 3600

ip inspect name INTERNET ssh

!

ip access-list extended FIREWALL_IN

permit tcp any any eq 22

permit tcp any any дописал уже от отчаяния

permit ipinip any any log-input дописал уже от отчаяния

ip access-list extended FIREWALL_OUT

permit ip any any

deny tcp any eq domain any

permit icmp any any

ip access-list extended SSH_ACL

permit tcp any any eq 22 log-input

permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input

deny tcp any any log-input

!

line vty 0 4

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

По обычному ssh я конечно подлкючаюсь нормально из внешки и из самой сети. Что говорит гугл по этому поводу, кидает на похожую проблему на opennet где люди сказали что cisco не поддерживает такое, во что мне не сильно верится. Помогите побороть проблему.

Заранее спасибо!