Altere as ACLs que controlam sua política de encapsulamento para permitir o tráfego:
Site A:
access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts
Site B:
access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts
O tráfego que passa por este túnel estará vindo na interface externa, sendo descriptografado e voltando pela interface externa (espero que isso funcione para o seu filtro da Web!), então você também precisará explicar isso :
(aviso de configuração: esta é a configuração 8.2, ajuste de acordo)
same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0
Com isso, todo o tráfego detectará a política de criptografia e o túnel será construído com redes locais / remotas de 0.0.0.0/0.
testasa# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X
access-list outside_cryptomap_A permit ip any object-group site_b_hosts
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
current_peer: test-endpoint-public
#pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
#pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626