O ASA está vendo apenas metade do fluxo de tráfego.
Um pacote SYN do PC em 192.168.139.21 será enviado para o ASA, que irá rastreá-lo e então encaminhá-lo para a rota em 192.168.139.253. Este roteador enviará o SYN para o roteador em 192.168.51.1, e para a máquina em 192.168.51.21.
Um pacote SYN + ACK será enviado de volta ao roteador em 192.168.51.1, através do túnel IPSec para o roteador em 192.168.139.253, e para o PC sem passar pelo ASA. Quando o pacote ACK é enviado do cliente, o ASA deixa cair o pacote porque não viu o SYN + ACK atrás da máquina em 192.168.51.21.
Para corrigir isso, o ASA precisa ver o tráfego nas duas direções. Existem muitas soluções - uma delas poderia ser mover a Fa0 do roteador 192.168.139.253 para a interface externa do ASA.