Здравствуйте многоуважаемые.
Поднимаю ipsec между двумя кошкам и вроде бы все поднимается и работает но только при условии прохождения первого пакета с нужной стороны. Поясняю подробнее на примерах.
Шифруем траф между сетями 10.0.0.0/24 и 10.0.254.0/24. Канал поднят между двумя loopback интерфейсами. На физических интерфейсах так же реальные ипы.
Поле настройки как и полагается сессии опущены
Interface: Loopback0
Session status: DOWN

Если я на пытаюсь пинговать с 10.0.0.10 -> 10.0.254.1 то пинги не идут но сессии переходят в состояние
Interface: Loopback0
Session status: UP-IDLE
И это с обоих сторон.
Как только я пускаю пинг с 10.0.254.1 на 10.0.0.10 то сесии сразу становятся активными и начинают ходить пинги.
Interface: Loopback0
Session status: UP-ACTIVE
Peer: 80.250.218.2 port 500
  IKE SA: local 82.148.15.64/500 remote 80.250.218.2/500 Active

То есть начинает все сразу работать если я пущу пакеты с всегде одной стороны. Хоть пинги оставляй что бы канал не падал. =(
Надеюсь я понятно объяснил суть проблемы. Теперь дам частично конфиги железок

сторона где сеть 10.0.0.0/24
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 3600
crypto isakmp key superkey address 82.148.15.64 no-xauth

crypto ipsec transform-set BRANCH_VPN esp-aes 256 esp-sha-hmac

crypto map VPN local-address Loopback1
crypto map VPN client configuration address respond
crypto map VPN 41 ipsec-isakmp
description MO_BACKUP                                                                      
set peer 82.148.15.64
set transform-set BRANCH_VPN
match address VPN_MO_BACKUP
reverse-route remote-peer 82.148.15.64 static

ip access-list extended VPN_MO_BACKUP
permit ip 10.0.0.0 0.0.0.255 10.0.254.0 0.0.0.255
permit ip host 80.250.218.2 host 82.148.15.64

Конфиг второй стороны

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
lifetime 3600
crypto isakmp key superkey address 80.250.218.2 no-xauth

crypto ipsec transform-set BRANCH_VPN esp-aes 256 esp-sha-hmac

crypto map VPN local-address Loopback0
crypto map VPN client configuration address respond
crypto map VPN 10 ipsec-isakmp
set peer 80.250.218.2
set transform-set BRANCH_VPN
set pfs group2
match address VPN_MO9
reverse-route remote-peer 80.250.218.2 static

ip access-list extended VPN_MO9
permit ip host 82.148.15.64 host 80.250.218.2
permit ip 10.0.254.0 0.0.0.255 10.0.0.0 0.0.0.255

Конфиги раельные но сильно урезанные. Вроде как все абсолютно нормально но не работает как хочется хотя все роуты нормально светятся и все пакеты между реальными интерфейсами маршрутера ходят без проблем.
По сему вопрос скорее теоритический. Почему возможна ситуация когда если с одной стороны начинаешь пинговать то тунель поднимается сразу и пакеты бегают, но если на положенной сессии начать пинговать с другой стороны сессия переходит в UP-IDLE но пакеты не ходят до первого пакета с другой стороны???

Я уже голову сломал. Неделю бьюсь. Все варианты ACL перепробовал но ничего не помогает =(((