Hola.
Para que la VPN con IPSec funcione de forma correcta deberas habilitar los puertos correspondientes para enviar y recibir los siguientes paquetes:
1. Paquetes UDP con puertos de destino 500 y 4500
2. Paquetes IP con protocolos AH y ESP
Para paquetes de servicio, configure políticas específicas entre zonas basadas en paquetes internos.
Espero que esta información ayude.
Saludos.