Felizmente, já sou capaz de responder - quero permitir que outra pessoa poupe várias horas e muita dor de cabeça.
nós configuramos tudo corretamente - NAT, ACL, CACL, rotas, etc. Mas nós nos esquecemos de uma coisa crucial - essa interface era nova e o IPSEC não estava habilitado nessa interface.
o ikev1 de criptografia ativa o newiface
foi a solução para o nosso problema, depois de adicionar esse comando, tudo (bem, principalmente) subiu sem problema. Eu não encontrei mencionado isso como solução possível para (acl-drop) O fluxo é negado pela regra configurada , então eu decidi compartilhá-lo com os outros.