DFL-260E, прошивка 2.40.04.08-21460
Подключено два выхода в инет - на wan и на dmz. Wan - главный (метрика в дефолтовом маршруте меньше).
С помощью таблиц и правил маршрутизации настроено, что на входящий трафик устройство отвечает по тому интерфейсу, с которого трафик пришел. Это работает.

Поставил два сервера PPTP, по одному на каждый интерфейс. Работают оба без проблем.
Делаю L2TP/IPSEC, пока сервер один, перенастраиваю с одного интерфейса на другой.
L2TP сделал стандартно, по мануалам.

На главном интерфейсе работает, на другом - нет. Переключаю метрики, чтобы dmz стал главным - работает.
То есть, как я понимаю, дело в роутинге.

Сегодня убил кучу времени, чтобы понять, что именно в маршрутизации надо настроить. Так и не понял ((

IKE SA устанавливается. В логах ничего, потому что не правила режут трафик. Тихо гонит пакеты куда-то не туда ((

чтобы устройство одновременно отвечало по двум ван-портам надо настроить PBR, что у вас и сделано для других протоколов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Ну да. Только если для других протоколов это получилось легко, то тут пока ничего не получается.
Кроме того, "есть один нюанс"(С), даже два.

1. PBR я настроил для входящих сессий. Возможно, при работе L2TP/IPSEC VPN сессии возникают и исходящие. Их тоже надо как-то настраивать.

2. IKE SA все-таки устанавливается. Значит, для чего-то моих настроек хватает, а вот для чего не хватает?

Пойду курить мануалы ((

Кроме того, возможно, есть резон сначала попробовать добиться того же от IPSEC VPN (Site2Site). Не знаю.
Пока я долблюсь в эту задачу без особых результатов. (((