Здравствуйте.

Имеется коммутатор DGS-3612, на котором настроены вланы default, v2.
Интерфейсы вланов:
default: 192.168.101.1/24
v2: 192.168.100.1/24

Транковым портом он подключен к межсетевому экрану DFL-860, на котором также настроены эти вланы.
default: 192.168.101.10/24 - он же default gateway
v2: 192.168.100.10/24

Проблема состоит в том, что коммутатор не может достучаться до шлюза по умолчанию для второго влана. Изюминкой в данной ситуации является то, что DFL получает ответы и от собственно 192.168.100.1 и от любого из хостов в сотой подсети (которым выдает динамические адреса).

Что необходимо сделать, чтобы трафик таки пошел в обе стороны?

На DGS-3612 интерфейсы в UP? Возможно, здесь что-то с настройками DFL - политики безопасности и пр.

Интерфейсы up.

На самом деле проблема в DGS-3612. Трафик из дефолтного влана в влан 4 (любой другой) ходит исправно и ответы возвращаются, а вот из 4го в дефолтный - нет.
Интерфейсы коммутатора во всех подсетях доступны. Также для 4го влана есть отклик от некоторых хостов в дефолтном (как правило, принтеров), но только icmp, по http, например, такие устройства недоступны.

Конфигурация такая:

Как это у Вас так настроено, что файервол является шлюзом сам для себя?

Файервол в настоящий момент имеет адрес 192.168.101.2 и он является шлюзом по умолчанию для 192.168.101.1. Кто шлюз для файервола значения не имеет.
Если бы я мог редактировать стартовый топик, поправил бы и исходные данные и название темы.

В настоящий момент трафик между сетями 100.0 и 101.0 ходит, но клиенты из сотой подсети (4й влан) не могут получить доступ к 0.0.0.0

Нарисуйте схему и укажите откуда куда не ходит трафик.
На файерволе прописан маршрут в сотую сеть?

Трафик ходит между клиентами, шлюзом для которых является коммутатор DGS-3612. Трафик во внешнюю сеть ходит только из той подсети, для которой у DGS-3612 указан маршрут по умолчанию 0.0.0.0/0 192.168.xxx.2 (2 узел в каждой подсети - это файервол). Указать 2 маршрута нельзя, даже если нарисовать 2 маршрута с одинаковым весом, работать будет последний.

Маршрут на файерволе прописывается при создании влана (может создаваться, а может не создаваться по желанию, создается по умолчанию). Здесь нестыковочка: создавая влан мы должны присвоить ему соответствующий адрес на интерфейсе и указать сеть, ему соответствующую. Тем самым мы заставляем файервол думать, что у него есть непосредственный доступ в искомую сеть. Поэтому схема "все локальные подсети доступны через 192.168.101.1" не реализуется.

Дополнительный вопрос по DHCP серверу DGS-3612. Можно ли сделать несколько экземляров сервера для каждого влана? DFL-860 делает это хорошо.

Я вижу три варианта.
1. Указать DFL для обоих подсетей как Default Gateway
2. Поднять между DFL и DGS третью сетку, указав хостам в качестве gw ip адреса DGS (будет Вам маршрутизация между подсетями), а с него сделать дефолтный маршрут на DFL. На DFL же прописать статикой маршруты на локальные сети через DGS. По-моему, это разумнее всего.
3. Попробовать организовать PBR.

Изначально старался не вносить лишних изменений в сеть, поэтому не пробовал второй вариант. В итоге все заработало.

Рад слышать