Отказоустойчивость Cisco ASA не может проверить связь с шлюзом

В настоящее время я пытаюсь настроить сеть аварийного переключения для моего Cisco ASA 55x0, используя отслеживание SLA. У меня есть "внешний" интерфейс (сеть 89.x.x.48 / 29) и "внешний2" интерфейс (сеть 192.168.70.0/24).

  track 1 rtr 1 reachability
  sla monitor 1
    type echo protocol ipIcmpEcho 89.x.x.49 interface outside
  sla monitor  schedule 1 start-time now life forever
  route outside 0.0.0.0 0.0.0.0 89.x.x.49 128  track 1

Как видите, я установил ping на IP 89.x.x.49, вот один ответ, когда я пытаюсь выполнить ping со своего компьютера, находящегося во «внутренней» сети:

$ ping 89.x.x.49

Pinging 89.x.x.49 with 32 bytes of data:
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255

Ping statistics for 89.x.x.49:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 1ms, Average = 1ms

На картинке есть моя проблема: похоже, на Cisco есть правило, которое блокирует все эхо-ответы с ip 89.x.x.49 на брандмауэр, несмотря на то, что я могу связаться с ним с помощью своего компьютера, и он может отвечать на мой компьютер.

ОБНОВИТЬ:

Здесь захват на внешнем интерфейсе, поведение кажется правильным, но Cisco ASA всегда отклоняет все эхо-ответы в его адрес.