Resolvido por outro meio, desativando o acesso IPsec na Cisco para os IPs com os quais o dispositivo interno está se comunicando. Isso via lista de acesso ao plano de controle:
ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any ciscoasa(config)# access-list FILTER-VPN permit ip any any ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane
(Fonte: link )