1) Seus clientes estão estabelecendo o túnel diretamente com o ASA ou com o "servidor VPN" em seu diagrama? 2) Os seus clientes VPN recebem o mesmo intervalo de IP que a sua rede interna ou um intervalo separado?
Com base na entrada de log, parece que seus clientes estão estabelecendo o túnel para o ASA e recebem uma sub-rede diferente da rede interna. Se este for o caso, eu acho que você precisa de uma regra de isenção de NAT em seu ASA para dizer a ele para não tentar o tráfego NAT entre seu intervalo de IP interno e seu intervalo de IP de VPN. Isso preserva sua origem (sub-rede VPN) e as redes de destino (sub-rede interna) para que o ASA não pense que precisa de uma regra NAT pública / privada para acesso à rede interna com base nas duas interfaces em que o tráfego está passando. Na GUI, está em: guia Configuração > > Firewall > > Regras NAT, embora eu tenha tido experiências mistas fazendo regras como esta na GUI - talvez tenha que ir para o CLI.