Remova o seguinte do seu ASA
route outside 172.16.20.0 255.255.255.0 a.a.a.a 1
Por ter esta declaração de rota em vigor, o ASA não poderá enviar ou devolver o tráfego através do túnel.
Além disso, você define o seu tráfego "para proteger / interessante" na seguinte ACL que é referenciada em seu mapa de criptografia.
access-list outside_1_cryptomap extended permit ip 172.16.10.0 255.255.255.0 172.16.20.0 255.255.255.0
Sua isenção / identidade nat é interessante quando se olha para o ACL de correspondência de mapa de criptografia acima.
object-group network DM_INLINE_NETWORK_1
network-object 172.16.20.0 255.255.255.0
network-object 172.16.200.0 255.255.255.0
access-list 80 extended permit ip 172.16.10.0 255.255.255.0 object-group DM_INLINE_NETWORK_1
access-list 80 extended permit ip 172.16.10.0 255.255.255.0 172.16.20.0 255.255.255.0
nat (inside) 0 access-list 80
Sua lista de acesso 80 possui correspondências redundantes. A linha 1 da ACL, quando o grupo de objetos é expandido, corresponderá à linha 2 da ACL. Redundante e provavelmente deve ser corrigido, mas provavelmente não é a causa de nenhum problema aqui.