Теорию по VPN туннелям и используемым протоколам вкратце можно почитать
тут.
Для начала главное, что построение туннеля происходит в два этапа (фазы):
1 фаза - два узла договариваются о методе идентификации, алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. а так же узлы идентифицируют друг друга.
2 фаза - генерируются данные ключей, узлы договариваются насчёт используемой политики.
VPN-тунели могут быть статические или динамические, в зависимости от того, известен ли нам второй узел или нет. В данной статье рассмотрим настройку динамического варианта, когда у нас есть несколько удаленных сотрудников, которые должны подключаться из разных мест. Сразу скажу, в ASA предусмотрен более гибкий вариант, построение VPN туннеля через Web при использовании anyconnect и если у вас есть куча менеджеров, которым необходимо по максимуму упростить доступ в сеть - лучше использовать именно его.