Především Váš popis je málo srozumitelný a výpis neúplný (chybí konfigurace vnějšího rozhraní, NATu, ACL, ...). Podle mne si musíte ujasnit základy směrování; jestli používáte subinterface nebo fyzické interface je úplně jedno (tedy pokud jsou subinterface dobře nastaveny, což, jak říkáte, máte - já ale ze zásady nikdy a nikomu nevěřím :-)). No pak je to jednoduché, nesmíte ovšem zapomenout definovat cesty zpět (na tom firewallu).
Ještě poznámka - pokud byste chtěl, aby se při směrování braly v úvahu i jiné parametry nežli adresa adresáta (třeba adresa odesílatele), musíte použít složitější konstrukce, třeba route-map; to se bere až v CCNP ;-).