[Cisco ASA 8.2] Geen return traffic over IPSEC.

Ik zit met een probleem waar ik al uren mee bezig ben, maar ik kan er maar geen logische verklaring voor vinden.

Situatie:
Remote locatie : Cisco client firewall (verder niet van belang)
Hoofdlocatie: Cisco ASA met 2 internet verbindingen.

De ene internetverbinding is een extended ethernet verbinding:
interface Ethernet0/0
description Backup Internet Extended Ethernet 4mbps
duplex full
nameif External1
security-level 0
ip address 84.x.x.182 255.255.255.252

De hoofdverbinding:
interface Ethernet0/3
description KPN Fiber Connection
nameif KPN
security-level 0
pppoe client vpdn group ROUTIT
ip address pppoe setroute

Jammer genoeg dus via PPPOE
PPPOE config:
PPP virtual interface id = 1
PPP authentication protocol is PAP
Server ip address is 84.x.x.216
Our ip address is 46.x.x.161
Transmitted Pkts: 313949, Received Pkts: 399428, Error Pkts: 0

Over beide verbindingen werkt het internet gewoon normaal

Het probleem is dat als ik een ipsec tunnel opzet naar de backup interface (extended ethernet) het direct werkt, maar als ik dezelfde ipsec tunnel opzet via de hoofdverbinding krijg ik geen ip verkeer over de tunnel terug..

Voor de info nog even de ipsec config
crypto ipsec transform-set Transform01 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map VPN 801 match address 801
crypto map VPN 801 set pfs
crypto map VPN 801 set peer 195.x.x.143
crypto map VPN 801 set transform-set Transform01
crypto map VPN 801 set security-association lifetime seconds 28800
crypto map VPN 801 set reverse-route
crypto map VPN interface KPN
crypto isakmp enable KPN
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 3600


Via beide interfaces komt de tunnel netjes op zonder foutmeldingen.
Dit is de tunnel via de hoofdverbinding:

Crypto map tag: VPN, seq num: 801, local addr: 46.x.x.161

access-list 801 permit ip 10.1.0.0 255.255.0.0 10.2.2.0 255.255.255.0
local ident (addr/mask/prot/port): (10.1.0.0/255.255.0.0/0/0)
remote ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)
current_peer: 195.x.x.143

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 63, #pkts decrypt: 63, #pkts verify: 63
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#send errors: 0, #recv errors: 0

local crypto endpt.: 46.x.x.161/4500, remote crypto endpt.: 195.x.x.143/4500
path mtu 1500, ipsec overhead 66, media mtu 1500
current outbound spi: 06CEC675

De reverse-route wijst naar het server adres van de PPPOE verbinding
S 10.2.2.0 255.255.255.0 [1/0] via 84.x.x.216, KPN

De packets gaan wel van de remote locatie naar de ASA, maar komen niet meer terug.
Als ik de crypto map koppel aan de backup verbinding, en ik pas het endpoint adres aan op de client firewall heb ik direct ip verkeer.

Ik heb al geprobeerd om 10.2.2.0 te routeren naar het lokale ip adres op de KPN interface, maar dat werkt ook niet.
Iemand een suggestie?

De backup interface wil ik eigenlijk nog helemaal niet gebruiken. Ik heb alleen de IPSEC daar nu op draaien omdat het niet werkt via de KPN interface. Dat is ook meteen de reden dat ik iets heb tegen PPPOE, omdat ik er nu een probleem mee heb

Dus niets met loadbalancing etc, wil gewoon dat de tunnel werkt via de KPN interface, daarna kijk ik verder. En aangezien het enige verschil tussen beide interfaces het gebruik van PPPOE is, vermoed ik dat daar de oorzaak zit.