A questão era como rotear para uma sub-rede diferente no Linux. Eu expliquei em detalhes a situação, respostas gerais sem especificidades foram dadas.
Eu o cortei em um servidor de desenvolvimento:
route add -net 10.1.200.0 (VPN ip pool) netmask 255.255.255.0 gw 172.16.1.1
e, em seguida, aplicado à produção. Funciona um charme e, para arrancar, conserva um host que teria contado o limite de 10 licenças de base do ASA - ou seja, quando o ssh'ing em 10.1.50.1 aumentou em 1 desde que o usuário VPN é considerado "fora" do ASA mas, quando está na mesma máquina em 172.16.50.1, a contagem de hosts permanece a mesma desde que essa interface já consumiu um host em virtude de seu constante tráfego de entrada / saída com o mundo externo.