В диагностике сетевых проблем сложно переоценить пользу такой простой утилиты как tracert (traceroute). Все мы знаем, что она в своей работе опирается на протокол icmp. И вполне логичным кажется обеспечение работы этого протокола на cisco asa путем «волшебного» inspect icmp. Однако, в случае с tracert это не помогает. Для ее нормального функционирования, необходимо разрешить на внешнем интерфейсе icmp типа time-exceeded от any к any:
access-list FROMOUTSIDE extended permit icmp any any time-exceeded access-group FROMOUTSIDE in interface OUTSIDE
Только после этого вас ожидает полностью рабочий tracert.
Решение найдено здесь: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml