Добрый день.

Между двумя сетками 10.0.0.0/24 и 10.0.3.0/24 с помощью DFL-800 (10.0.0.0/24) и DFL-210 (10.0.3.0/24) организован IPSec-канал.
В сети 10.0.0.0/24 функционирует HTTP/HTTPS/SOCKS прокси-сервер 10.0.0.2, который в свою очередь прописан на всех машинах в сети 10.0.3.0/24.
Бывает, что интернет в сети 10.0.0.0/24 пропадает, отсюда падает канал и для сети 10.0.3.0/24 прокси-сервер становится недоступен, при этом остаётся возможность напрямую выходить в инет через WAN DFL-210.
Собственно вопрос, как прописать маршрут/правило в DFL-210, чтобы запросы в сети 10.0.3.0/24 при недоступности прокси-сервера уходили автоматически на WAN этой же сети, и соответсвенно направлялись обратно в сеть 10.0.0.0/24 при доступности IPSeс и прокси?!

никак.

DFL не может служить http-прокси сервером

А случай, что вы описываете, будет требовать смены настроек на клиентских компах при падении/поднятии основного канала.

Безотносительно вашей проблемы, эффективнее пускать через IPSec только трафик, нуждающийся в шифровании, т.е. обычно внутри-сетевой, а инет трафик пускать через нешифрованный PPTP/L2TP. Так может ускоряться скорость работы и IPsec, поскольку разный трафик ходит через разные каналы, а не через общий Ipsec с ограниченной пропускной способностью.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

НТТР трафик можно завернуть на НТТР прокси прозрачно + резервировать через собственный WAN

Для этого, надо сделать в альтернативной таблице маршрутизации default route на IPsec c мониторингом пингом того же прокси, резервный маршрут указать на WAN

Чтобы НТТР трафик пошел через нужную таблицу, надо сделать правило PBR (при условии что default route в main смотрит на wan)
lan/lannet wan/all-nets http, forward alt, return main

Правила при этом будут вида
# main chain
SAT lan/lannet ipsec/all-nets http, SAT: new dest = remote_proxy_ip, new port = proxyport, rewrite all to one
Allow lan/lannet ipsec/all-nets http
# reserve chain
NAT lan/lannet wan/all-nets http

На тему того, заработает ли с HTTPS, попробуйте, я честно говоря не уверен
Для SOCKS такое не заработает, для всяких ICQ и прочих, которые используют нестандартные порты - понадобится ручное указание прокси в любом случае

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc