Привет.
Есть ASA, на ней поднят IPSEC туннель до ДЦ. Когда пингую с внутреннего интерфейса АСЫ сервер в ДЦ, всё ОК, когда пингую с сервера внутренний интерфейс АСЫ тоже все ок.
Но когда хочу пинговать с сервера хосты за АСОЙ, пинг не проходит. Хотя пакет трейсер показывате, что пакет пришел, но reply нет. И так со всеми хостами.
Что не так, куда копать?

включить инспекцию icmp

Включена - не помогает.

1. Убедиться, что трафик заворачивается в туннель (это можно глянуть через привязанный ACL к crypto)
2. Что на обратной стороне туннеля?
3. Глянуть, долетают ли icmp echo до удаленной площадки

крипто такой:
ASA# sh run access-list 102
access-list 102 extended permit ip object inside-net object-group GO-nets
access-list 102 extended permit ip object-group GO-nets object inside-net (добавил только что, не помогло)

ICMP request долетают до удаленной площадки, видно кэпчером
На обратной стороне туннеля не АСА.

Разобрался.
Надо было дать команду sysopt connection permit-vpn - с ней работает, без неё нет.

Оказывается, можно и без неё.
Надо на инсайд интерфес повесить acl разрешающий данный трафик на outside и ОБЯЗАТЕЛЬНО включить инспекцию.