похоже аса может только lan-to-lan ipsec. Тогда надо добавить роутер перед первой аса, поднять обычный туннель между двумя роутерами, а уже на асах зашифровать трафик по этим туннелям. При этом на асе в списке шифрования прописать адреса ip туннелей роутеров:crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
crypto map internet 1 match address internet
crypto map internet 1 set peer x.x.x.x
crypto map internet 1 set transform-set ESP-3des-SHA
crypto map internet interface outside
access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key secret
crypto isakmp policy 1
.............