Пинг Cisco ASA через VPN

ASA1 - 8.4 (2) @ 192.168.1.1, за ним host1 @ 192.168.1.10

ASA2 - 8.4 (3) @ 192.168.2.1, за ним host2 @ 192.168.2.10

Пинг от хоста 1 к хосту 2 работает, но я не могу проверить этот внутренний интерфейс (192.168.2.1) на ASA2 через туннель с хоста 1. Я не знаю, с чего начать? Я хочу получить доступ ко всем функциям управления через VPN, поэтому я ввел следующее на ASA2;

ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

Но я не могу пинговать, подключаться через SSH или подключаться через ASDM к ASA2 с host1. ASA2 уже настроен с management-access inside для управления с локальных ему машин.

Не думаю, что здесь есть какая-то неправильная конфигурация NAT, между подсетями не должно быть NAT;

ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24

ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24

Что я могу проверить или изменить?

ОБНОВИТЬ Хорошо, я выполнил захват пакетов на каждом ASA и выполнил эхо-запрос от ASA1 к ASA2 и наоборот. По какой-то причине эхо-запросы от самих ASA не отправляются через туннель.

ASA1# show capture testc access-list capture

1428 packets captured

 155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 
 161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 

Такие же результаты наблюдаются на ASA2. Таким образом, даже если хосты в этой внутренней подсети используют VPN, внутренний интерфейс ASA - нет. Как вы думаете, это правила NAT, приведенные выше, должны ли они иметь в конце "поиск маршрута"?