ай, ай.. "выньте интернет" из каталиста!!! а как же "best practice"???
Воткните интернет в ASA!

из теории сетей: ваши пользователи из 192.168.0.0/24 отправляют пакет на 84.253.67.129, он идёт 192.168.0.1 -> 84.253.67.190 -> 84.253.67.129. Ответ от 84.253.67.129 вашим пользователям: сеть 192.168.0.0/24 недоступна.

Немного поменял конфигурацию:
- VLAN 2 192.168.1.2
- VLAN 1000 192.168.0.1
- ASUS внешний IP 84.253.67.190/24, GW: 84.253.67.129, внутренний 192.168.1.1

Инет настроен на ASUS, а сам ASUS воткнут в порт циски, который находится в VLAN 2. Теперь в VLAN 2 интернет есть, в других виланах нет.

Т.е. по той же теории получается, что пользователи из 192.168.1.0/24 отправляют пакет на 84.253.67.129, он идёт 192.168.1.1 -> 84.253.67.190 -> 84.253.67.129.
Ответ от 84.253.67.129 пользователям: сеть 192.168.1.0/24 недоступна!!!!???
Нет, мне кажется это не так (тем более, что в VLAN 2 в реале все работает).
Я подумал следующее, что ASUS получив пакет предназначеный для для сети 192.168.0.0 не знает куда его деть, поэтому прописал на нем 192.168.0.0 255.255.255.0 192.168.1.2. После этого у меня из vlan1000 стал пинговаться роутер, но инет так и не доступен. ЧЕГО НЕ ХВАТАЕТ?

/16 означает что в маске используется 16 бит т.е 255.255.0.0, значит мин ип 192.168.0.1 макc ип 192.168.255.254 ну и многое другое.

[удалено модератором]

Блииин. Ну какой же тугой этот товарищ. Даю наводку намбер два. Посетите вот эту ссылку - https://www.nic.ru/whois/?query=192.168.0.1 И прочитайте ЧТО там написано. Там же есть ссылка на соответствующий RFC. И эта. Не занимайтесь цисками. Не Ваше это. Ваш уровень знаний на эникея потянет. В лучшем случае.