Não parece que você tenha uma configuração de zona de segurança para o tráfego de 'saída' para 'entrada'. Você pode precisar de algo assim:
!
class-map type inspect match-any ccp-ssh
match protocol ssh
!
policy-map type inspect ccp-permit-ssh
class type inspect ccp-ssh
inspect
!
zone-pair security ccp-zp-out-in source out-zone destination in-zone
service-policy type inspect ccp-permit-ssh