Hola Esteban:
Es posible que haya algún problemas de configuración, ISA no tiene ese comportamiento. Si podes darnos más información sobre como esta definida tu red Interna (rangos de IP), el rango de tu IP externa. Como estan configurados tus clientes, rango de IPS. Regla que tenes definida para que naveguen y configuración que le diste a la VPN la respuesta puede ser más precisas, mientras tanto, asumiendo que hay conectividad desde los clientes al ISA:
1. Asegurate que en "Virtual Private Networks (VPN)" te vas a "Remote Access Configuration" y chequea que en la solapa Access Networks que este marcado solamente External.
2. En la configuración de la red Interna en "Configuration" / "Networks", luego en la solapa Networks fijate que en la configuración de Internal no este agregada la IP de la red externa (que no este incluida en los rangos definidos de la interna).
3. En la solapa "Network rules" Asegurate que la regla "Internet Access" existe y este definida con una relación NAT entre las redes: "Internal", "Quarantined VPN Clients" y "VPN Clientes". No importa realmente el nombre de la regla, pero si que tengas una regla con esa acción y esas redes.
4. En las "Access Rules" en "Firewall Policy" verifica que tengas una regla que permita el trafico de "Internal" a "External" por lo menos para HTTP, para todos los usuarios "All Users", y fijate si es posible acceder desde un cliente aunque sea a http://www.microsoft.com, si eso funciona, entonces tenes un problema con tus reglas.
5. Verifica también la configuración de red de tus clientes internos. Tienen instalado el WebProxy o usan el ISA como "Default Gateway".
Espero con esto sea suficiente. Si no, mandanos toda la información que te comento arriba y vemos de profundizar un poco más.
Saludos,
Cristian.