Elvileg nem fogja elrontani.
Best match van, de a policy order is számít bizonyos esetekben! Több paramétert vesz figyelembe a policy matchelésénél, hogy ezek mik és hogyan na az nem nagyon van jól dokumentálva... :). De ha az s2s tunnelek remote peer IP címe fixen meg van adva pl right=1.2.3.4, right=4.5.6.8 akkor az szűkebb illeszkedés mint a road warrioroknál a right=%any. Ha több policy-ra is illeszkedik egy bejövő kapcsolat akkor számít a policy-k sorrendje. Akkor az első illeszkedő nyer.
Azt hiszem a default loglevelen nem írja ki az illeszkedéseket feljebb kell venni, de már régen volt...