John_Alban

Если нужно решение уровня packet-tracer для чисто лабораторного стенда, то просто пропишите статику на каждый сервер, одной из статик поставьте вес побольше.

1. Включаем режим здоровой паранойи и забываем голый tftp/ftp
3. Сохраням текущий конфиг, копируем его на комп.
Готовим файл изменения конфига. Вбиваете в него команды, как будто вы находитесь в консоли и конфигурируете железку в config-mode. Т.е., если хотите изменить ip на интерфейсе, пишите:
int gig1/0/1
no ip add
ip add 1.1.1.1 255.255.255.252
если изменить маршрут:
no ip route
ip route $чтототам
Думаю, вы поняли. Главное, предвидеть, как ASA отреагирует на команды и не забыть это учесть в файле.
2. ASA должна поддерживать scp. Вот гайд, как настроить и закинуть файл изменения конфига
3. На случай ошибки и потери доступа планируем ребут через 10мин:
# reload in 10
4. Просто активируем изменения:
#(config) copy flash:changes.txt running-config
5. Проверяем результат. Если неудачно, ASA перезагрузится на старом startup-конфиге и можно будет исправить ошибки и повторить процедуру.
Если же по какой-то причине scp не заработает, можно сделать копирование файла изменений по tftp через easyVPN (который нужно будет поднять между рабочей станцией и ASA), но это уже другая история

Итак, симтомы проблемы я устранил.
Изначально ACL для отбора было таким:
!
permit udp object-group ext_hosts range 49152 65535 object-group int_hosts range 3784 3785
!
Собственно, возникла идея поиграть с условиями и я убрал ограничение по адресам. ACL превратился в:
!
permit udp any range 49152 65535 any range 3784 3785
!
И все заработало! Но вопрос все равно открыт - устранился симптом, почему ASR не обрабатывает условие по ip-заголовкам - непонятно. Баг или особенность обработки host-inbound трафика на IOS-XE?

UPD: Весь сыр-бор возник из-за того, что внутри ACL для cef-exception трафика не работают object-groups. Для остального host-inbound трафика они работают.
Если вместо object-groups напрямую писать ip-адреса, то все работает как надо.

На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
На интерфейсах задать security-level:
!
interface gig0/0
description --to_ISP--
security-level 0
nameif untrust
!
int gig0/1
des --to_server--
security-level 100
nameif trust
!
конфиг NAT:
object network server_local
host 192.168.1.2
object network ISP_peering
host 111.111.111.111
!
object network out_nat
nat (trust,untrust) dynamic ISP_peering #либо через static режим
!
Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
access-list outside_access extended permit tcp any object server_local eq www
access-group outside_access in interface untrust

Естественно, это минимальный конфиг и для полного счастья его не хватит