Аксес лист 105 у вас не правильный.
Как я понимаю надо сделать так:
deny ip any 10.0.0.0/8
deny ip any 192.168.0.0/16
deny ip any 172.16.0.0/12
permit host ISA anyТем самым весь трафик на внутренние адреса пойдет без ната.
А в интернет - с натом.
Ваше правило
access-list 105 permit ip host 192.168.249.253 any
разрешает всем пакетам с исы идти через нат.
А вообще, как я понимаю, весь трафик натится в любом случае?
Ест нат в филиалы не нуже - надо на ису и рутер заводить дополнительный интерфейс.
Тогда такие проблемы в принципе не возникнут.