Добрый день!

Путаюсь с правилами ACL, прошу помощи.
Есть ASA 5510, на ней настроен VPN (peer to peer), настроен NAT.
Адреса внутренней сети 192.168.5.0/24.
На внешнем интерфейсе уровень безопасности 0 на внутреннем 100.

Вопросы:
1.) нужно ли для доступа к сети VPN другого офиса на внешнем интерфейсе прописывать разрешающий ACL типа:
access-list outside_out extended permit ip 192.168.5.0 255.255.255.0 any

2.) нужно ли для доступа в интернет прописывать разрешающий ACL типа:
access-list outside_out extended permit ip 192.168.5.0 255.255.255.0 any

3.) нужно ли для доступа в интернет и VPN на внешнем интерфейсе прописывать разрешающие ACL типа:
access-list outside_out extended permit ip interface outside any

Прошу сильно не пинать ногами, незнаю в какой последовательности обрабатываются правила ACL NAT и VPN?