Supondo que você esteja usando o comando 'copy' no ASA para iniciar a transferência, deve ser possível especificar a interface que você deseja que o cliente tftp (ASA2) use o IP de (neste caso, originário de a interface 'interna' para que ela corresponda às ACLs relevantes.)
Dê uma olhada na sintaxe: link
é provável que você precise emitir o comando como: ASA2 # cópia running-config tftp: // [usuário [: senha] @] servidor [: port] / [caminho /] nome_do_arquivo [; int = nome_da_interface]