Добрый день!

Прошу помощи в проброске основного шлюза через удалённый офис по site-2-site tunnel.
Оборудование - ASA 5505, Version 8.4(7)31

Схема сети такова.

Основной офис имеет выход в интернет через двух провайдеров с настройкой резервирование через IP SLA. Плюс имеется оптика до второго офиса.
Сеть 192.168.1.0/24

Второй офис имеет выход в интернет через одного провайдера, а так-же связан по оптике с основным.
Сеть 192.168.2.0/24

Трафик между внутренними сетями идёт через шифрованный site-2-site tunnel по прямой оптике, а как резервные используются линки до провайдеров.

Необходимо чтобы у второго офиса был резервный канал в интернет через основной офис.

Вот часть текущего конфига.
---Основной офис---

object-group network LOCAL_NET
 network-object 192.168.1.0 255.255.255.0
object-group network REMOTE_NET
 network-object 192.168.2.0 255.255.255.0
access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET
nat (inside,outside) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,backup) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,tunnel) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic any interface
nat (inside,backup) after-auto source dynamic any interface
route outside 0.0.0.0 0.0.0.0 1.2.3.4 1 track 1
route tunnel 192.168.2.0 255.255.255.0 172.16.0.1 1 track 2
route backup 0.0.0.0 0.0.0.0 2.3.4.5 250
crypto ipsec ikev1 transform-set FirstSet esp-3des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
 protocol esp encryption 3des des
 protocol esp integrity md5
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 172.16.0.1 3.4.5.6
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
crypto map abcmap interface backup
crypto map abcmap interface tunnel
crypto ikev2 policy 1
 encryption 3des
 integrity md5
 group 2
 prf md5
 lifetime seconds 43200
crypto ikev2 enable outside
crypto ikev2 enable backup
crypto ikev2 enable tunnel
crypto ikev1 enable outside
crypto ikev1 enable backup
crypto ikev1 enable tunnel
crypto ikev1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 43200
tunnel-group 172.16.0.1 type ipsec-l2l
tunnel-group 172.16.0.1 ipsec-attributes
 ikev1 pre-shared-key *****
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****
tunnel-group 3.4.5.6 type ipsec-l2l
tunnel-group 3.4.5.6 ipsec-attributes
 ikev1 pre-shared-key *****
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

Во втором офисе конфиг идентичный, с небольшими отличиями по IP провайдеров и изменены iP локальной и удалённой сетей.

Что я пробовал и что не получилось.
Менял access  list l2l_list в основном офисе на

access-list l2l_list extended permit ip any object-group REMOTE_NET

.. и во втором на

access-list l2l_list extended permit ip object-group LOCAL_NET any

Дополнительно в основном офисе добавил nat

nat (tunnel,outside) after-auto source dynamic any interface
nat (tunnel,backup) after-auto source dynamic any interface

Маршрут по-умолчанию во втором офисе не добавлял т.к. сеть после сделанных изменений стала вести себя следующим образом.
Оборвалась связь через туннель между офисами. Затем пинг пошёл в обе стороны, но зайти в консоль на любые железки в удалённом офисе не было возможности - после ввода логина консоль отваливалась.
Пришлось вернуть все настройки в прежнее состояние на той циске до которой был доступ и работа сети восстановилась.

Прошу помочь найти ошибку в настройке, что я допустил.

Спасибо!