根据您对 Ron Trunk 的评论，我假设您正在使用两个 ASA 防火墙，一个 (ASA1) 通过外部接口连接到 Internet，另一个 ASA2 与 ASA1 具有站点到站点连接（两者都在不同的位置且未连接通过直接 L2 连接）。您希望 ASA2 内部接口后面的用户使用 ASA1 的 Internet 连接。

如果我的假设是正确的，我们可以简化如下，

1. 放置默认路由，即 0.0.0.0，通过其外部接口在 ASA1 上指向 Internet，这样所有未知的公共 IP 都将被路由到 Internet。

2. 通过外部接口将默认路由放置到 ASA2 的下一跳。

3. 在 ASA1 外部接口到 ASA2 外部接口之间建立隧道。所以你必须在两个防火墙的外部接口绑定加密映射。

4. 允许 ASA2 内部接口子网（用户的子网）作为本地代理和“任何”作为 ASA2 加密域中的远程代理

5. 在 ASA1 的加密域中，允许源（本地代理）作为“任意”，将目标（远程代理）作为 ASA2 内部接口。

6. 如果您想阻止内部 ASA1 与内部 ASA2 通信，请在内部 ASA1 和内部 ASA2 之间的加密域中放置拒绝语句 *可选

7. 这样，如果坐在 ASA2 内部的用户尝试访问互联网，它将到达内部的 ASA2，匹配加密域，加密并通过隧道发送到 ASA2。在 ASA2 中，它将被解密并为其公共目的地寻找路由。由于我们有通往外部接口的默认路由，它会尝试通过外部接口推送流量。

8. 此处，流量通过外部接口（安全级别 0 - 示例）进入 ASA1 并尝试通过相同的外部接口（安全级别 0）退出，但默认情况下，ASA 不允许具有相同安全级别的接口之间的流量。因此，要使其工作，我们必须允许相同安全级别接口之间的流量。以下是这些命令。

“same-security-traffic permit intra-interface” - 这将允许流量通过同一接口进入和退出。

“same-security-traffic permit inter-interface” - 这将允许流量通过具有相同安全级别的不同接口进出。

9. 因此，如果您对此进行配置，来自 ASA2 内部接口的流量将采用 ASA1 的默认路由并到达 Internet。

10. 返回通信将反之亦然。

解释安全级别的思科链接 - http://www.cisco.com/c/en/us/td/docs/security/asa/asa70/configuration/guide/config/intparam.html#wp1039276

您可以构建远程访问 VPN 绑定到 ASA1 的外部接口以实现家庭用户连接，如果需要，他们可以将相同的站点带到站点以访问 ASA2 内部。

如果您想进一步解释配置，我可以提供。

是的。将 VPN 隧道（S2S 和远程访问）视为附加的逻辑接口。