Коллеги, добрый день.
Сломал голову. Надеюсь только на вас.

Есть 2 офиса. DFL-860e на обеих сторонах (А и В).
Настроил IPSec`и:
1) lan(А) - lan(В)
2) dmz(А) - dmz(В)

На первого DFL 8-м порту поднят VLAN.
Пытаюсь настроить 3)vlan(А) - dmz(В).

Все туннели поднялись, но правила не отрабатывают именно на 3-м IPSec, хотя всё идентично двум предыдущим туннелям (добавлял из клонированием).

Что не так?

Для более подробной информации
Со стороны DFL А
Переменные:


IPSec:

3-й поднят (как и оба предыдущих):


Правила:


Маршруты:


Со стороны DFL В
Переменные:


IPSec:


Правила:


Маршруты:


При пинге с компьютера в сети 100 в сеть 104 через IPSec на роутере А в логах ошибка:

Соответственно до роутера В ничего не доходит.
При этом если пинговать другую сеть, например 102 -> 104, то всё ок:
На А:

На В:


Если пинговать в обратную сторону 104-100, то роутер В отрабатывает правила:

Пакеты до А доходят, но не обрабатываются:


Соответственно если пинговать 104-102, то всё ок.

В чем загвоздка? Где косяк? VLAN как-то хитрее работает?

Видимо совсем старые железяки, вот и нет ответа который день.
Но не стоял на месте, в результате получил для меня приемлемый вариант.
На роутере А добавил доп. таблицу маршрутизации:


и прописал правило маршрутизации:


В результате пакеты ходят из сети В в сеть А. Что мне и нужно было.
Правда не получилось добиться того же результата при обращении из А в В, но поскольку основную задачу решил, копаться не стал.


Всем удачи.