Сконфигурил IPSec:
IPSec Policy: asa01

Active: true
WAN i/f: item0
Encapsulation: tunnel
Auto Key: true

Peer GW: 11.22.33.44 (заменен)
Peer Net: IPV4_ADDR_SUBNET
addr: 10.0.252.0
mask/end: 255.255.255.0

Local i/f:
Local Net: IPV4_ADDR_SUBNET
addr: 192.168.0.0
mask/end: 255.255.255.0

Proposal: AH Auth none
ESP Auth md5
ESP Encrypt aes_256_cbc
PFS Group dh2

IKE Parameters:
Phase1 mode: main
Proposal: Hash md5
Encrypt aes_256_cbc
DH Group dh2
Peer ID:

Local ID:

Pre-shared key: presharedkey
ISAKMP SA Lifetime: 480 minutes
IPSec SA Lifetime: 60 minutes

Keepalive method: ping
PING: 0.0.0.0
Poll Interval: 10 seconds
Connection Timeout: 1200 seconds
Reconnect: 15 minutes

при попытке пингануть 10.0.252.2 в консоль высыпается сообщение:
13:45:15: [IPSEC][INFO]OUTbound -- 1 192.168.0.99:(8 0) -> 10.0.252.2
13:45:15: [IPSEC][INFO]Outbound Policy(1) Matched.
13:45:16: [IPSEC][INFO]SA Not Added to IKE, Drop Packet.

на цыску ничего не прходит (пакеты вне политики на нее доходят - я не заморачиваясь указал дефолт роутером эту самую цыску)
интерфейс item0 - виртуальный, прилеплен к ethernet (dslam-а под рукой нет - я тестирую перед отправкой на место).
Вопрос:
1) можно ли вообще так конфигурить, или ipsec цепляется только на wan интерфейс (но ведь пакеты политикой отбираются)?
2) что собственно это (SA Not Added to IKE, Drop Packet.) означает?

привидите логи DSL и sh debug циско.

asa01# sh debug
debug crypto ipsec enabled at level 1
debug crypto isakmp enabled at level 1

на dsl-е в систем лог:

admin> system log dump

----------- system log buffer head --------------
Jan 01 00:00:00 home.gateway:ipsec:none: [INFO]Start IPSEC Initialize .....
Jan 01 00:00:00 home.gateway:ipsec:none: [INFO]Start IPSEC Initialize ..... Done
Jan 01 00:00:20 home.gateway:im:none: Changed iplan IP address to 192.168.0.1
Jan 01 00:00:20 home.gateway:im:none: Changed item0 IP address to 194.85.153.126

----------- system log buffer tail --------------

а на консоли я уже писал:

06:30:00: [IPSEC][INFO]OUTbound -- 1 192.168.0.99:(8 0) -> 10.0.252.2
06:30:00: [IPSEC][INFO]Outbound Policy(1) Matched.
06:30:00: [IPSEC][INFO]SA Not Added to IKE, Drop Packet.

или я не о том?

на cisco
sh log
на DSL
полный вывод лога с вэб интерфеса.

asa01#sh log
Syslog logging: enabled
Facility: 20
Timestamp logging: enabled
Standby logging: disabled
Deny Conn when Queue Full: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level informational, facility 20, 244922 messages logged
Logging to management 10.0.250.87 errors: 10 dropped: 49
History logging: disabled
Device ID: disabled
Mail logging: disabled
ASDM logging: level informational, 244922 messages logged

фрагмент логов с цыски и логи с dsl отправил мылом - там много набежало...