Access lists aanpassen voor DMZ met ander subnet

Ik heb de volgende situatie (waar ik niet uit kom).

Pix 515E, 3 interfaces
1x inside (172.28.4.0)
1x outisde
1x dmz (172.16.104.0)

Het 172.28.4.0 subnet kan bij de dmz.
Het 172.28.34.0 subnet moet daarbij.

Dus ik dacht, even een paar accesslists toevoegen en klaar.
Heb die van 172.28.4.0 gekopieerd.

access-list acl-in permit ip host 172.16.104.4 172.28.34.0 255.255.254.0
access-list acl-in permit ip 172.28.34.0 255.255.254.0 172.16.104.0 255.255.255.0
access-list acl-in permit tcp 172.28.34.0 255.255.254.0 172.16.104.0 255.255.255.224 object-group alloweddmz
access-list nonat permit ip 172.16.104.0 255.255.255.224 172.28.34.0 255.255.254.0

(Object group dmz:)
object-group service alloweddmz tcp
port-object eq 6129
port-object eq 2301
port-object eq 2381
port-object eq smtp
port-object eq 11267
port-object eq www
port-object eq 135
port-object eq ftp
port-object eq 10319

Helaas werkt het dus niet helemaal zoals het moet. Ik kan 't niet pingen.
Kan iemand aan de hand van deze info mij wellicht vertellen wat ik over het hoofd zie?