Isso levou algum trabalho para descobrir ...
Primeiro de tudo - a razão pela qual o cliente (ou telefone, para ser preciso) não conseguiu um endereço IP foi por causa de uma configuração incorreta do telefone. Ele não tinha um conjunto de sinalizadores "Config IKE", o que significa que basicamente descartava qualquer configuração enviada pelo ASA.
Quando consertei isso, outro grande problema apareceu. Acontece que nossos clientes AnyConnect não funcionaram. Recentemente, atualizamos para o ASA 8.4.4 em uma tentativa de resolver outro problema, e essa versão traz um novo verificador de regras contra as regras de NAT para que elas não colidam com os endereços IP de reserva:
Este é um grande obstáculo para nós, já que temos um conjunto de sub-redes atrás do firewall em uma grande rede MPLS, onde os clientes VPN precisam de conectividade. Criar novos grupos de host / rede apenas para não colidir com os IPs de reserva é de, pelo menos, dois dias de trabalho para mim, então vou fazer o downgrade para o ASA 8.4.3 até que a Cisco possa encontrar uma solução melhor para isso.