Wie bekomme ich die Anforderung umgesetzt, dass IPSec VPN Clients auch im Internet surfen können, aber über eine dedizierte Internet-Firewall geführt werden. 

Mit der folgenden Konfiguration kann der ASA ein default gateway overwrite eingerichtet werden. Hierbei wird der unbekannte Traffic, welcher über den IPSec Tunnel kommt an eine zweite Firewall weitergereicht.

conf t
! default gateway route pointing internet router
route public 0.0.0.0 0.0.0.0 192.168.0.246 1
! tunnel default gateway route pointing internet firewall
route intern 0.0.0.0 0.0.0.0 192.168.1.9 tunneled
end