Имеем ситуацию: Два маршрутизатора 2800, по два интерфейса на каждом
Один итерфейс смотрит в публичную сеть, другой смотрит в приватную сеть.
И соответственно подняты по два туннельных интерфейса один поверх публичной сети другой поверх канала точка-точка.

interface Tunnel0
ip address 172.16.6.1 255.255.255.0
tunnel source XXX.XXX.239.59
tunnel destination XXX.XXX.20.242
tunnel protection ipsec profile T1

interface Tunnel1
bandwidth 256
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
tunnel source 172.16.12.1
tunnel destination 172.16.13.1
tunnel protection ipsec profile T2

crypto ipsec profile T1
set transform-set myset

crypto isakmp policy 1
encr 3des
hash md5
group 2
lifetime 2800

crypto ipsec transform-set myset esp-3des esp-md5-hmac

Абсолютно одинаковая конфигурация на обоих маршрутизаторах
ISAKMP аутентифицирует друг друга при помощи сертификатов.
После загрузки маршрутизаторов туннели поднимаются и все работает нормально, работает протокол динамической маршрутизации и все здорово.
Но через какое-то время (от нескольких часов до пары дней) туннель через канал точка-точка падает.
Причем никаких ошибок IPSEC или ISAKMP нет, выглядит так, как будто все ок, но при этом пакеты не проходят.
Очистка всех возможных SA не помогает, а помогает только перезагрузка маршрутизаторов, причем обоих. После этого опять какое-то время все работает нормально.
В чем могут быть грабли? На канале точка-точка бывают потери (радиоканал) но они не критические. Как только делаешь no tunnel protection ipsec на интерфейсе - сразу пакеты проходят.