今天早上我遇到了一个奇怪的问题。我有一个站点到站点的 VPN 隧道，该隧道已启动并在两个站点之间正确传递流量。有趣的流量在远程站点被指定为 /24，在头端被指定为 /16，并且 IPSEC SA 根据指定该流量的 ACL 正确出现。前端有多个子网、一个核心路由器……等等。远端是一个子网。

隧道已启动，并且流量正在通过隧道（不是到静态设备的流量，到 DHCP 设备的流量）......但无论出于何种原因，我都无法从前端对静态分配的设备进行 ping 操作。一旦我在远程端登录到 ASA5505 并直接向静态设备发起 ping，来自头端的 ping 就开始工作了。我以前从未从 ASA 中看到过这种行为，并且我已经以类似的方式安装了数十个。有谁知道为什么会这样？也许是一个arp设置，或者类似的东西？

远端的 ASA 在 9.1(6)6 上。头端防火墙是帕洛阿尔托防火墙上的提供商托管上下文。