Em seu primeiro ponto, a parte do firewall já está configurada. Aqueles comandos de "nível de segurança" que você emitiu para a interface cuidaram disso. Níveis mais altos são capazes de se comunicar com níveis mais baixos, mas níveis mais baixos precisam ter acesso a recursos em níveis mais altos. Para conceder acesso, você cria uma lista de acesso e a atribui a uma interface com o comando access-group. Como você também é NAT, você precisa criar alguns mapeamentos estáticos para que o firewall saiba para onde enviar tráfego. Deixei o DC fora das minhas instruções porque você não precisa expor nada ao DC (é um problema de segurança fazer isso). Se você tiver escritórios remotos que precisam ser autenticados, configure um site para o site VPN. Veja como ficaria:
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 80
access-list outside_access_in extended permit tcp any host 192.168.1.153 eq 25
access-group outside_access_in in interface outside
static (inside,outside) 192.168.1.153 192.168.2.5 netmask 255.255.255.255
Você poderia, alternativamente, usar o PAT em vez de atribuir ao servidor seu próprio endereço IP externo. Eu recomendo não fazer isso, se possível, pois é mais comandos para configurar e manter um servidor de e-mail em seu próprio endereço IP ajuda você a não ficar na lista negra. Se você gostaria de fazer isso, aqui está o que você faria (note que nesta configuração você tem que criar um mapeamento estático para cada porta):
access-list outside_access_in extended permit tcp any host [external ip address of firewall] eq 80
access-list outside_access_in extended permit tcp any host [external ip address of firewall] eq 25
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 80 [internal ip address of server] 80 netmask 255.255.255.255
static (inside,outside) tcp interface 25 [internal ip address of server] 25 netmask 255.255.255.255
Para permitir o acesso, basta dizer ao ssh onde ouvir, como autenticar (um banco de dados local é mais fácil de configurar) e gerar uma chave:
ssh [ip address of main office] 255.255.255.255 outside
ssh [ip address of remote lab network] [subnet mask of remote lab network] outside
ssh [subnet of internal network] [subnet mask of internal network] inside
username companyadmin password [create a good password] privilege 15
aaa authentication ssh console LOCAL
crypto key generate rsa
EDITAR
Você não pode fazer o tipo de failover que está procurando no ASA. Ele pode fazer failover de ISPs, mas não de hosts. O que você pode querer analisar é o Network Load Balancer no Windows ou um balanceador de carga de hardware dedicado.
O primeiro trecho de código não é sobre a VPN site a site. Desculpe pela confusão. É para encaminhar portas com um IP dedicado (também conhecido como NAT estático) em oposição a um endereço IP compartilhado com o firewall. Quando é um IP compartilhado, é chamado de tradução de endereço de porta (PAT) porque o número da porta e o tipo ditam para qual host ele está encaminhado. Quando você tem um endereço IP dedicado, ele é chamado NAT estático. Você já está usando o NAT e pode usar o PAT ou o NAT estático em combinação com o NAT.