Ping Cisco ASA sobre VPN

ASA1 é 8,4 (2) @ 192.168.1.1, por trás disso é host1 @ 192.168.1.10

ASA2 é 8.4 (3) @ 192.168.2.1, por trás disso é host2 @ 192.168.2.10

O ping do host1 para o host2 funciona, mas não consigo pingar essa interface interna (192.168.2.1) no ASA2 através do túnel do host1. Não tenho certeza de onde começar? Eu quero acessar todos os recursos de gerenciamento sobre a VPN, então eu digitei o seguinte no ASA2;

ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

Mas não consigo fazer ping, conectar via SSH ou conectar via ASDM a ASA2 a partir do host1. O ASA2 já está configurado com management-access inside para gerenciamento de máquinas locais para ele.

Não creio que exista alguma configuração incorreta de NAT aqui, não deve haver NAT entre sub-redes;

ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24

ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24

O que posso verificar ou alterar?

UPDATE OK Eu tenho executado uma captura de pacotes em cada ASA e pingado de ASA1 para ASA2 ad vice verso. Por alguma razão, os pings do próprio ASA não estão sendo enviados pelo túnel.

ASA1# show capture testc access-list capture

1428 packets captured

 155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 
 161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 

Os mesmos resultados são observados no ASA2. Portanto, mesmo que os hosts dessa sub-rede estejam usando a VPN, a interface interna do ASA não é. Você acha que são as regras de NAT acima, eles devem ter "pesquisa de rota" no final?