VPN типа "сеть-сеть" с использованием IPCop и Cisco ASA 5505

Поэтому я прихожу в компанию, которая хочет отойти от своих брандмауэров IPCop и заменить их на Cisco ASA 5505. Вместо того, чтобы разорвать всю сеть и оставить ее отключенной в течение многих недель, необходимых для настройки каждого нового ASA, я решил сначала заменить межсетевые экраны IPCop на ASA в наших удаленных средствах и заменить блок концентратора IPCop позднее (возможно, позже). даже никогда)

Каждый из этих брандмауэров IPCop в наших удаленных объектах туннелируется на один хаб-сервер IPCop с использованием сертификатов. Чтобы оставаться последовательным, я хочу использовать сертификаты для создания туннеля VPN от нового ASA до блока IPCop концентратора.

Что я сделал до сих пор:

• Сгенерировал пару ключей RSA на ASA
• Добавлен блок IPCop концентратора в качестве точки доверия на ASA с использованием ручной регистрации
• Создан запрос на регистрацию для точки доверия
• Перенес запрос на регистрацию в поле IPCop и установил с ним соединение
• Импортированный сертификат идентификации, созданный полем IPCop, когда я создал соединение
• Аутентифицированный корневой сертификат коробки IPCop в ASA
• Запустил мастер VPN для создания исключений NAT и групп туннелей и тому подобное.

Судя по всему, VPN-туннель все еще не открыт. Есть ли волшебный шаг "щелкнуть выключателем", который я забыл? Я все об этом ошибаюсь?