Desabilitando a randomização do ACK no ASA resolve esse problema (este cenário corresponde a Exemplo B - Múltiplas opções da Internet Caminhos ):
access-list tcp_bypass extended permit tcp 192.168.161.0 255.255.255.0 any
class-map tcp_bypass
match access-list tcp_bypass
policy-map tcp_bypass_policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
set connection timeout idle 0:10:00
service-policy tcp_bypass_policy interface inside
Essa solução é uma droga, não deixe de ler as implicações antes de fazer isso.