Essas duas instruções não são triviais para serem lançadas juntas. "A VPN está configurada para lidar com o tráfego entre [usuários remotos] e [Sub-rede A] e não inclui [Sub-rede B]." e "Finja que as regras de firewall para todos os roteadores devem permitir tudo".
Mas, vou supor que você quer dizer que o ASA remoto está configurado para usar a VPN apenas para sub-redes específicas - por exemplo, Sub-rede A. A parte que eu não entendo é por que você deseja NAT no seu Interface interna do ASA para um host na sub-rede B. Por que você não faz o Roteador 2 executar o NAT?
No que diz respeito ao roteamento de tráfego, não posso responder a isso de fato. No entanto, posso dizer que o NAT nas implementações tradicionais causa duas decisões de roteamento. O primeiro a identificar o pacote como pertencente a uma conexão TCP traduzida - isso usará os endereços IP não traduzidos e uma decisão a seguir para o pacote pós-traduzido.
Basicamente, o que você quer dizer com "isso afetará as conexões que chegam pela VPN?" Você gostaria que usuários remotos conectados à VPN acessassem o host na sub-rede B via tradução NAT ou não?
Supondo que seu objetivo é tornar o host na sub-rede B disponível para usuários VPN sem expor o restante da sub-rede B a eles, seu raciocínio é sólido; devido à falta de experiência na plataforma cisco pix / asa, não posso garantir que não haja pegadinhas ou hangups. Isto é prontamente e facilmente realizável usando o Linux iptables, por exemplo.
Mais uma vez, porém, se você simplesmente quiser disponibilizar o host na sub-rede B para os usuários pela VPN, considere fazer isso com NAT no roteador 2 e / ou adicionar a sub-rede B à VPN e usar regras de firewall o ASA ou o Roteador 2 para limitar o tráfego.
Desculpe, esta não é uma resposta perfeita, mas se você pudesse esclarecer os detalhes, eu posso ter algumas notícias melhores para você.